近日，伊朗黑客組織Tortoiseshell盯上了以色列航運、物流和金融服務公司，至少有8家公司的相關網站遭遇了水坑攻擊。 

網絡安全公司ClearSky稱，此次攻擊是由一個名叫Tortoiseshell的伊朗威脅組織發起的，該組織也被稱為Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。

ClearSky在周二發布的一份技術報告中提到：這些受到感染的網站是通過腳本收集初步用戶信息，大多數受影響的網站已經被清除了惡意代碼。

據悉，該黑客組織從2018年7月已經開始頻繁活動，早期的攻擊目標是沙特阿拉伯的IT提供商。他們還為美國退伍軍人建立了虛假的招聘網站，以誘使他們下載遠程訪問木馬。

這種攻擊方法也被稱為戰略網站攻擊，其工作原理是感染已知的一群用戶或特定行業內的用戶經常訪問的網站，從而傳播惡意軟件。

2022年8月，一個名為UNC3890的新興伊朗組織在一家合法的以色列航運公司的登錄頁面上設置了一個“水坑”，將登錄用戶的初步數據傳輸到攻擊者控制的域。

根據ClearSky的最新入侵記錄顯示，注入網站的惡意JavaScript也以類似的方式運行，收集有關系統的信息并將其發送到遠程服務器。

此外，JavaScript代碼還會進一步確認用戶的語言偏好，ClearSky說這有利于攻擊者使用用戶日常使用的語言來設置對應的攻擊策略，更有效的達成目的。

除此之外，這些攻擊還利用了一個名為jquery-stack的域，可實現在線指揮與控制(C2)，通過模擬合法的jQuery JavaScript框架來避開雷達。