Aanvallers hebben meerdere Cambodjaanse en Vietnamese nieuws- en overheidssites gehackt en gebruikt voor het uitvoeren van zeer gerichte aanvallen. In totaal vonden onderzoekers van anti-virusbedrijf ESET 21 gecompromitteerde websites. Op deze websites werd kwaadaardige code geplaatst om specifieke bezoekers aan te vallen. Dit wordt ook wel een “watering hole” aanval genoemd.

Bij dergelijke aanvallen compromitteren de aanvallers websites die potentiële doelwitten uit zichzelf bezoeken en voorzien die van kwaadaardige code. De aanvallers waar ESET over schrijft compromitteerden ook verschillende websites die een groot aantal bezoekers trekken, en niet alleen door potentiële doelwitten worden bezocht. Het gaat onder andere om de populaire website van een Vietnamese krant.

In sommige gevallen voeren de aanvallers eerst een “locatiecontrole” uit, zodat alleen bezoekers uit Cambodja en Vietnam kwaadaardige code ontvangen. Wat de uiteindelijke “payload” is die de aanvallers versturen is onbekend. De onderzoekers slaagden er niet in om die op een testmachine te ontvangen.

In het verleden werden watering hole-aanvallen vaak gebruikt voor het verspreiden van malware, maar de aanvallers achter deze aanval lieten bij eerdere aanvallen phishingpop-ups zien. In de pop-up werd gevraagd om een Gmail-app toegang tot het Google-account te geven. Wanneer gebruikers dit deden konden de aanvallers berichten in de inbox van het slachtoffer lezen, verwijderen en versturen.

ESET waarschuwde alle gecompromitteerde websites in oktober, maar op het moment dat de blogposting over de aanval werd gepubliceerd waren de meeste sites nog steeds gecompromitteerd.