标签: 伊朗

大规模示威活动后 ,伊朗 Infy 黑客组织开展网络攻击抗议群体

前情回顾:路透社报道 12 月 28 日伊朗突然爆发反政府示威活动,且迅速蔓延至包括德黑兰、马什哈德、哈马丹、沙赫鲁德在内的多个主要城市。反对政府示威浪潮是由对经济困难、物价上涨以及腐败现象的不满所引起,这也是 2009 年以来伊朗爆发的最大规模的抗议活动。 外媒 1 月 7 日消息,网络安全公司称大规模示威之后伊朗 Infy 黑客组织可能会试图网络攻击抗议者以及其国外联络人。目前伊朗当局对抗议者和持不同政见人士的镇压涉及范围较为广泛,其中包括任何与目标群体接触的人员。 据 Palo Alto Networks 的专家介绍伊朗 Infy 黑客组织至少从 2007 年起开始活跃,其恶意软件攻击范围涉及到伊朗国内外。据悉,与伊朗其他针对外国组织的国家资助者不同,Infy 组织似乎集中在反抗者和持不同政见者身上。 Infy 恶意软件于 2007 年 8 月首次被提交到 VirusTotal,同时,有专家发现其最古老的样本中所使用的 C&C 域名与 2004 年 12 月的恶意活动也有关联。不仅如此,研究人员 Colin Anderson 证实自 2014 年年底以来,Infy 攻击者就对伊朗公民社会进行了大量恶意软件攻击事件。多年来,为了不断改进 Infy 恶意软件,其开发作者实施了许多新功能。 相关媒体称针对最近的大规模示威活动,伊朗政府还试图通过屏蔽互联网来隔离抗议活动,例如封锁 Instagram 和 Telegram 等消息服务。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

伊朗在爆发大规模抗议活动后切断部分城市互联网访问

据路透社报道,12 月 28 日伊朗突然爆发反政府示威活动,至今已持续 4 天。更为严峻的是,示威游行已经快速扩散,蔓延到包括德黑兰、马什哈德、哈马丹、沙赫鲁德在内的多个主要城市。 反对政府示威浪潮是由对经济困难、物价上涨以及腐败现象的不满所引起。据悉,这也是 2009 年以来爆发的最大规模的抗议活动。 另一方面,据该国国家电视台报道,目前全国已有 1200 多个城镇举行了亲政府集会,与反政府示威团体产生暴力冲突。报道称有“敌对势力的网站和外国媒体继续试图利用国内矛盾引发动乱”。伊朗内政部长 Abdolreza Rahmani-Fazli 也警告,不要试图通过社交媒体来宣传抗议活动。 有报道称伊朗政府已经切断了发生抗议的几个城市的互联网访问。一个拥有超过四千万伊朗用户的 Telegram 频道被指煽动暴力行动而遭关闭,Telegram 在伊朗也将面临被屏蔽的威胁。 稿源:据 凤凰网、路透社消息整理,封面源自网络;

美国指控伊朗黑客盗取 HBO《权力的游戏》等未上映影集

据外媒报道,一名伊朗黑客近期在美国遭到指控,于今年夏天盗取 HBO 未上映影集并要求支付高达 600 万美元的赎金赎回。今年七月份,这位黑客泄露了一段即将播放的 HBO 系列剧 “权力的游戏” ,以及”Curb Your Enthusiasm” 、”Ballers” 和 “The Deuce.”这三部未发行剧集。 根据美国纽约南区地区法院大陪审团公布的起诉书,美国联邦调查局确定伊朗 Behzad Mesri 为嫌疑黑客,后者要求 HBO 以比特币支付 600 万美元赎金,并威胁说,如果拒绝支付,将释放更敏感的内容。HBO 拒绝就这些指控发表评论,但表示自从网络攻击的早期阶段开始就一直在和执法机构合作。 据称,Mesri 是一名技术娴熟的黑客,曾为伊朗军方工作,攻击核设施,以色列基础设施和对手军队。他还是土耳其黑帽安全团队的成员,这个黑客组织是一个来自伊朗的黑客组织,这个黑客组织破坏了全球数百个网站。法庭文件显示,Mesri 涉嫌利用自己的技能在 5 月份开始对 HBO 员工进行攻击,并且能够攻击几名可以远程访问 HBO 网络服务器的员工。据说,Mesri 可以自由地掠夺 HBO 的视频、脚本和个人信息。 稿源:cnBeta,封面源自网络;

英国追查伊朗于今夏针对议会电邮系统发动网络攻击

今年 6 月的时候,英国议会遭受了一场持续不断的网络攻击,旨在揭开议员所使用的密码较弱。不过调查人员表示,现已确定伊朗是本次网络攻击的幕后黑手。据《泰晤士报》所述,约有 90 个账号被攻破。其实在攻击发生当天上午,英国当局就发现了不寻常的活动迹象。作为应对,议员被限制不得在威斯敏斯特宫之外的地方访问他们的电子邮件。 起初,俄罗斯差点又背了黑锅。因为在攻击发生之前,俄语黑客网站上就已经披露过部分议员所使用的密码。不过现在,英国当局已经追查到了伊朗的头上,据信这是首次针对英国发动的大型网络攻击。《泰晤士报》援引一份秘密情报评估报告称,约有 9000 个邮件账户受到了影响,就连首相特丽莎·梅也未能幸免。其中大约有 90 个账户被盗,当局认为伊朗很可能已经获取到了敏感的材料。对于此事,国会下议院不予置评。 稿源:cnBeta,封面源自网络;

伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动

HackerNews.cc  9 月 20 日消息,美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前,受影响机构包括美国航空航天公司、沙特阿拉伯商业集团,以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击,旨在收集情报、窃取商业机密信息。 调查显示,黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备,其主要使用的恶意软件包括 DROPSHOT(病毒传播器)、SHAPESHIFT(恶意软件删除器)与 TURNEDUP(自定义后门)。有趣的是,虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门,但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外,恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前,FireEye 推测,APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系,因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伊朗 APT 组织 CopyKittens 最新网络间谍行动曝光

据外媒 7 月 25 日报道,趋势科技(Trend Micro)与以色列安全公司 ClearSky 研究人员近期联合发布一份详细报告,指出伊朗 APT 组织 CopyKittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ Operation Wilted Tulip ”。 APT 组织 CopyKittens(又名:Rocket Kittens)至少从 2013 年以来就一直处于活跃状态,曾于 2015 年面向中东地区 550 个目标展开攻击。据悉,该报告详细介绍 CopyKittens 在新网络间谍活动中采取的主要攻击手段: 1、水洞攻击:通过植入 JavaScript 至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。 2、Web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。 3、恶意文件:利用近期发现的漏洞(CVE-2017-0199)传播恶意 Microsoft Office 文档。 4、服务器漏洞利用:利用漏洞扫描程序与 SQLi 工具 Havij、sqlmap 与 Acunetix 有效规避 Web 服务器检测。 5、冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。 趋势科技表示,为成功感染目标系统,CopyKittens 将自定义恶意软件与现有商业工具(如 Red Team 软件 Cobalt Strike、Metasploit、开发代理 Empire、TDTESS 后门与凭证转储工具 Mimikatz)结合,从多个平台向同一受害系统发动持续攻击,成功操控后转移至其他目标设备。 原作者:Mohit Kumar,编译:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

伊朗 APT 组织 OilRig 传播具有合法数字签名的恶意软件

安全公司 ClearSky 发现伊朗 APT 组织 OilRig 自 2015 年以来一直针对以色列、中东和其他国家。在最近的攻击中,他们建立了一个假的 VPN 门户网站并传播具有合法数字签名的恶意软件,攻击目标涉及多个以色列 IT 供应商、金融机构和邮局。 ClearSky 的安全专家发现,伊朗黑客建立了一个假的 Juniper Networks VPN 网站,并使用来自 IT 供应商的电子邮件帐户发送邮件来诱骗受害者。恶意电子邮件中的链接指向该虚假网站,并要求用户输入用户名和密码,之后会要求受害者安装“ VPN 客户端”,该 Juniper VPN 软件中捆绑了恶意软件 Helminth 。 值得注意的是整个软件包( VPN 客户端和恶意软件)使用了赛门铁克颁发给 AI Squared(一个开发辅助功能软件的合法软件公司)的有效代码签名证书进行数字签名。 此外黑客还注册了四个属于牛津大学的域名( oxford-symposia[.]com、oxford-careers[.]com、 oxford[.]in 、 oxford-employee[.]com )当受害者访问假冒的牛津大学招聘网站时,网站会提示需要在发送简历邮件之前下载一个预先注册工具(恶意软件),该恶意工具也使用 AI Squared 的证书签名。 研究员意外发现 OilRig APT 组织使用的 C&C 服务器 IP 地址 83.142.230.138 与 Chafer 黑客组织使用的是一样的。这意味着 Chafer 和 Oilrig 是同一个伊朗 APT 组织。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。