标签: 伊朗

英国追查伊朗于今夏针对议会电邮系统发动网络攻击

今年 6 月的时候,英国议会遭受了一场持续不断的网络攻击,旨在揭开议员所使用的密码较弱。不过调查人员表示,现已确定伊朗是本次网络攻击的幕后黑手。据《泰晤士报》所述,约有 90 个账号被攻破。其实在攻击发生当天上午,英国当局就发现了不寻常的活动迹象。作为应对,议员被限制不得在威斯敏斯特宫之外的地方访问他们的电子邮件。 起初,俄罗斯差点又背了黑锅。因为在攻击发生之前,俄语黑客网站上就已经披露过部分议员所使用的密码。不过现在,英国当局已经追查到了伊朗的头上,据信这是首次针对英国发动的大型网络攻击。《泰晤士报》援引一份秘密情报评估报告称,约有 9000 个邮件账户受到了影响,就连首相特丽莎·梅也未能幸免。其中大约有 90 个账户被盗,当局认为伊朗很可能已经获取到了敏感的材料。对于此事,国会下议院不予置评。 稿源:cnBeta,封面源自网络;

伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动

HackerNews.cc  9 月 20 日消息,美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前,受影响机构包括美国航空航天公司、沙特阿拉伯商业集团,以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击,旨在收集情报、窃取商业机密信息。 调查显示,黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备,其主要使用的恶意软件包括 DROPSHOT(病毒传播器)、SHAPESHIFT(恶意软件删除器)与 TURNEDUP(自定义后门)。有趣的是,虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门,但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外,恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前,FireEye 推测,APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系,因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伊朗 APT 组织 CopyKittens 最新网络间谍行动曝光

据外媒 7 月 25 日报道,趋势科技(Trend Micro)与以色列安全公司 ClearSky 研究人员近期联合发布一份详细报告,指出伊朗 APT 组织 CopyKittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ Operation Wilted Tulip ”。 APT 组织 CopyKittens(又名:Rocket Kittens)至少从 2013 年以来就一直处于活跃状态,曾于 2015 年面向中东地区 550 个目标展开攻击。据悉,该报告详细介绍 CopyKittens 在新网络间谍活动中采取的主要攻击手段: 1、水洞攻击:通过植入 JavaScript 至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。 2、Web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。 3、恶意文件:利用近期发现的漏洞(CVE-2017-0199)传播恶意 Microsoft Office 文档。 4、服务器漏洞利用:利用漏洞扫描程序与 SQLi 工具 Havij、sqlmap 与 Acunetix 有效规避 Web 服务器检测。 5、冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。 趋势科技表示,为成功感染目标系统,CopyKittens 将自定义恶意软件与现有商业工具(如 Red Team 软件 Cobalt Strike、Metasploit、开发代理 Empire、TDTESS 后门与凭证转储工具 Mimikatz)结合,从多个平台向同一受害系统发动持续攻击,成功操控后转移至其他目标设备。 原作者:Mohit Kumar,编译:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

伊朗 APT 组织 OilRig 传播具有合法数字签名的恶意软件

安全公司 ClearSky 发现伊朗 APT 组织 OilRig 自 2015 年以来一直针对以色列、中东和其他国家。在最近的攻击中,他们建立了一个假的 VPN 门户网站并传播具有合法数字签名的恶意软件,攻击目标涉及多个以色列 IT 供应商、金融机构和邮局。 ClearSky 的安全专家发现,伊朗黑客建立了一个假的 Juniper Networks VPN 网站,并使用来自 IT 供应商的电子邮件帐户发送邮件来诱骗受害者。恶意电子邮件中的链接指向该虚假网站,并要求用户输入用户名和密码,之后会要求受害者安装“ VPN 客户端”,该 Juniper VPN 软件中捆绑了恶意软件 Helminth 。 值得注意的是整个软件包( VPN 客户端和恶意软件)使用了赛门铁克颁发给 AI Squared(一个开发辅助功能软件的合法软件公司)的有效代码签名证书进行数字签名。 此外黑客还注册了四个属于牛津大学的域名( oxford-symposia[.]com、oxford-careers[.]com、 oxford[.]in 、 oxford-employee[.]com )当受害者访问假冒的牛津大学招聘网站时,网站会提示需要在发送简历邮件之前下载一个预先注册工具(恶意软件),该恶意工具也使用 AI Squared 的证书签名。 研究员意外发现 OilRig APT 组织使用的 C&C 服务器 IP 地址 83.142.230.138 与 Chafer 黑客组织使用的是一样的。这意味着 Chafer 和 Oilrig 是同一个伊朗 APT 组织。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。