以色列Cydiru间谍软件发现与英国和中东的水坑袭击有关

据报道，美国的间谍软件供应商Cyrru在本月被英国政府和中东加入了一个经济封锁名单，据报道新的调查结果揭示了在美国和以色列的高调实体的“浇水洞”袭击。被害网站属于英国、也门、沙特阿拉伯、真主党、伊朗政府机构（外交部）、叙利亚（包括电力部）和也门（包括内政部和财政部）的媒体机构。; 也门和叙利亚的互联网服务提供商；以及意大利和南非的航空航天/军事技术公司，”ESET在一份新报告中说攻击者还创建了一个模仿德国医疗交易会的网站。"

战略Web折衷被认为是发生在两个浪潮中的，第一个起始于2020年3月，在2020年8月结束之前，第二次攻击始于2021年1月，持续到2021年8月初，目标网站被清除掉恶意脚本。

最初的攻击链涉及从远程攻击者控制的域向网站注入JavaScript代码，该域旨在收集和过滤有关受害机器的IP地理位置和系统信息，只有在所涉及的操作系统是Windows或macOS时，才选择进一步进行，暗示这场运动是针对电脑而不是移动设备策划的。最后一步可能导致浏览器远程代码执行攻击，使攻击者能够劫持对机器的控制

在2021年1月观察到的第二个波的特征是更多的隐形，因为JavaScript修改是由网站使用的合法WordPress脚本（“WP嵌入.M.js”）而不是将恶意代码直接添加到主HTML页面，使用该方法从攻击者控制下的服务器加载脚本。此外，指纹脚本还超越了获取系统元数据的范围，捕获默认语言、浏览器支持的字体列表、时区和浏览器插件列表

到目前为止，确切的利用率和最终交付的有效载荷仍然未知。ESET恶意软件研究人员Matthieu Faou说：“这表明运营商选择缩小运营重点，他们不想烧毁自己的零日漏洞。”