10月18日资安业者ESET的研究团队指出,该公司以色列合作伙伴遭遇资安事故,根据的初步调查,在10分钟内有限的恶意邮件攻击就遭到封锁。ESET强调,他们并未遭到入侵,正积极与合作伙伴紧密合作,进一步调查此事。
在上述的公告里,ESET并未透露相关细节,我们通过代理商台湾二版询问该公司,他们表示这起事故主要的目标是以色列用户,相关威胁已经成功拦截,而且不会对亚洲用户造成影响。
根据资安新闻网站Bleeping Computer的报导,这起资安事故发生在10月8日,带有ESET商标的钓鱼邮件从合法网域eset.co.il发送,ESET向该新闻网站透露,此网域为他们以色列经销商Comsecure经营。
这些钓鱼邮件声称来自ESET进阶威胁防御团队(ESET Advanced Threat Defense Team),国家级黑客打算对收信人的设备下手,他们提供名为ESET Unleashed的工具来协助用户因应。
一旦收信人照做,就会取得ZIP文件,其内容包含部分ESET防护软件组件,以及伪装成安装程序(setup.exe)的数据破坏软件(Wiper)。
值得留意的是,根据邮件的SPF、DKIM、DMARC数据,这些邮件确实来自eset.co.il,而且,攻击者也利用该网域代管上述ZIP文件。这样的情况,资安防护系统很有可能视为无害,不会进行拦截。
网络资安专家Kevin Beaumont也着手调查此事,并印证Bleeping Computer的发现,他指出setup.exe采用多项手法回避侦测,只能使用实际电脑触发。研究人员提及,该数据破坏软件采用勒索软件「阎罗王(Yanluowang)」部分参数,但并未透露攻击者是否与该勒索软件黑客组织有关。



2024-10-22
