标签: 伊朗

伊朗 19 岁黑客攻破美一退休牙医网站以示对美国的不满

据外媒报道,Phil Openshaw是美国加州一名退休的牙医,他已经好几个月没上过自己的网站了,所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反,该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片,并且上面还写着“打倒美国”的标语。 当他告知这一情况之后,Openshwa表示:“我真的不知道如何应对。我将会去看看。” 攻击Openshaw网站的黑客自称Behzad先生,并透露自己是一名19岁的爱国主义者。“我不为政府工作。我为我的祖国伊朗工作。”另外他还称自己是在工作编程中学到如何攻破网站的。“我们想要知道,如果他们伤害了我们的人民或我们的国家我们是不会倒下的。”   (稿源:cnBeta,封面源自网络。)

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

微软表示伊朗黑客组织的目标瞄准了 2020 年美国总统候选人

当地时间周五,微软透露,他们手上已有的证据表明一群来自伊朗的黑客试图访问属于2020年总统候选人的电子邮件帐户。在宣布这一发现的博客文章中,微软拒绝透露目标总统候选人的名字,但确认他们的账户暂时并未受到该公司称为“Phosphorous”的威胁组织的侵害。 CNBC后来报道说,特朗普2020年竞选遭受了网络攻击。但是,特朗普竞选活动的宣传总监蒂姆·默特(Tim Murtaugh)表示,“没有迹象表明我们的任何竞选基础设施被针对性地攻击。” 该活动只是伊朗黑客试图在今年8月至9月的30天内入侵的一组帐户中的一个。微软表示,其威胁情报中心观察到该组织进行了2700多次尝试识别电子邮件帐户的尝试,然后继续“攻击”其中的241个。 微软客户安全与信任副总裁汤姆·伯特(Tom Burt)表示:“攻击目标与美国总统竞选活动、现任和前任美国政府官员、报道全球政治的记者以及生活在伊朗境外的知名伊朗人有关。” “黑客的这些尝试也并不是一无所获,目前一共发现有四个帐户成功被盗。” 微软表示,Phosphorous试图获得对链接到微软电子邮件帐户的访问权限,以便对其进行破解,他们还尝试窃取与用户关联的电话号码。攻击技术并不复杂,目标也很明确,“他们试图使用获得目标人物的大量个人信息”。   (稿源:cnBeta,封面源自网络。)

美多家媒体证实美国对伊朗发动了网络攻击

据Yahoo News报道,美国针对伊朗间谍组织的报复性数字攻击于周四实施。《华盛顿邮报》、《纽约时报》、美联社都用各自的消息源证实了该报道。而就在同一天,美国总统特朗普取消了对伊朗目标的空袭。 资料图 据悉,袭击的目标是一个“情报组织”,该组织要么跟伊朗革命卫队有联系或存在部分联系。 Yahoo News报道指出,该组织与最近在该地区对商业船舶的攻击有关联。《华盛顿邮报》则称,该袭击严重损害了伊朗的军事指挥和控制系统,但没有造成任何人员伤亡。《纽约时报》表示,伊朗的导弹控制系统也成为美方攻击的目标。 据了解,网络攻击由美国网络司令部发起,《纽约时报》的报道显示,这些攻击早在几周前就有了计划,意在回应针对油轮的攻击以及最近一架美国无人机被击落的事件。 实际上这并不是美国第一次卷入针对伊朗资产的网络攻击。此前,美国曾协助开发了攻击伊朗核离心机的Stuxnet蠕虫病毒。2016年,曾有报道称,美国制定了一项名为Nitro Zeus的计划,该计划本来是用来对付伊朗的基础设施,但据报道该计划后来被搁置了。 目前还不清楚网络攻击的整体规模也不清楚其产生的影响,但未来可能还会发生更多这样的冲突。 即使伊朗不对此次的网络攻击做出回应,两国的紧张局势似乎仍会继续加剧。特朗普总统今日表示,他打算周一对伊朗实施重大额外制裁。   (稿源:cnBeta,封面源自网络。)

《华尔街邮报》:美国对伊朗导弹发射控制电脑网络发起攻击

据外媒报道,《华盛顿邮报》的一篇报道指出,在得到美国总统的批准后,五角大楼本周发动了摧毁伊朗用来控制导弹发射的电脑网络的网络攻击。此前,伊朗击落了一架据称侵犯了伊朗领空的美国无人侦察机。 作为对该事件的回应,美国总统批准了从对伊朗雷达设施、导弹电池和其他目标的常规军事袭击中撤出。但据《华盛顿邮报》报道,周四晚针对伊斯兰革命卫队(IRGC)的网络攻击已经准备了有一段时间。 特朗普政府的前白宫高级网络官员Thomas Bossert告诉《华盛顿邮报》:“这次行动给日益增长的伊朗网络威胁带来了代价,但也有助于保护美国在霍尔木兹海峡的海军和航运行动。” “我们的美国军方早就知道,如果有必要,我们可以在24小时内击沉海峡内的每一艘IRGC船舶,”Bossert说道,“这就是美国海军在海上保卫自己、使国际航线自由的现代做法。 当被要求就《华盛顿邮报》的报道置评时,美国国防部发言人Heather Babb表示,出于政策和行动安全考虑,他们不对外讨论网络空间行动、情报或规划。另外,白宫方面也没有立即回应置评请求。   (稿源:cnBeta,封面源自网络。)

黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码

2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为: –  Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater) –  PoisonFrog(旧版BondUpdater) –  HyperShell(称之为TwoFace的Palo Alto Networks网络外壳) –  HighShell(另一个Web shell) –  Fox Panel(钓鱼工具包) –  Webmask(DNS隧道,DNSpionage背后的主要工具) 根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。   (稿源:cnBeta,封面源自网络。)

微软申诉并成功控制涉及伊朗黑客攻击活动的域名

为了控制伊朗黑客组织使用的域名,微软向美国法院申诉并赢得了限制令,以控制黑客组织(被称为Phosphorus或APT 35)使用的99个网站,这些网站据信被用于各种黑客攻击。微软消费者安全主管Tom Burt在一篇博客文章中表示,法院本月早些时候批准了这项提议。 法院下达的限制令允许微软从注册商处控制域名并在自己的服务器上托管,包括“outlook-verify.net”和“yahoo-verify.net”,并将恶意流量安全地重定向到微软的服务器。 “在跟踪Phosphorus的整个过程中,我们与包括雅虎在内的许多其他科技公司密切合作,共享威胁信息并共同阻止攻击,”Burt说。 该黑客组织被认为与前美国空军反情报官Monica Witt有关,后者于2013年叛逃到德黑兰,现在因涉嫌从事间谍活动被联邦调查局通缉,这些黑客的目标通常是学术界和记者,他们的钓鱼页面看起来像雅虎和谷歌登录页面,且可以打败双因素身份验证。 这是微软针对黑客组织采取的最新法律诉讼。去年,该公司提起了针对Strontium的诉讼,称为APT 28或“Fancy Bear” – 与俄罗斯国家情报机构GRU有关。     (稿源:cnBeta,封面源自网络。)

伊朗相关黑客利用网络钓鱼攻击活动人士和美国官员

据外媒报道,根据伦敦网络安全竞购Certfa最新公布的一份报告显示,与伊朗政府相关的黑客将实施了制裁的他国官员、活动人士和记者作为其网络钓鱼黑客攻击目标。获悉,目标包括了原子科学家、美国财政部官员以及今年被美国总统特朗普撤销的伊朗核协议的支持者和批评者。 Certfa发现,这场活动是由一个叫做Charming Kitten的黑客组织发起。研究人员在报告中写道:“换句话说,受到伊朗政府支持的黑客根据伊朗政府的政策和国际利益选择攻击目标。” 对此,伊朗政府并未立即置评。 报道称,该黑客行动在很大程序上主要依赖于诱骗邮箱用户交出他们电子邮件的用户名和密码。不过像Yubikey等这样的物理令牌有助于防止此类黑客攻击,因为当登录重要邮箱账号时设备必须在场才行。 Certfa指出,黑客们为了给自己的行动增加合法性会选择在某些情况下指示受害者在输入用户名和密码之前打开其在谷歌页面上的网站。研究人员说,他们已经将这种情况反映给了谷歌,为此谷歌关闭了该公司服务上的黑客页面。 目前还不清楚究竟有多少受害人落入了这个网络钓鱼的全套,而这些黑客之所以被发现看来是因为他们犯了一个基础错误。据称,他们在网上留下了一个不安全的信息,研究人员正是通过这个找到了他们并从中获取了钓鱼活动的细节信息。   稿源:cnBeta,封面源自网络;

Facebook 清除上百个传播虚假信息的账号 伊朗疑卷入其中

据外媒报道,Facebook日前删除了另一批做出不真实行为的页面、群组和账号。这些页面主要针对的是生活在中东、拉丁美洲、英国以及美国的人,上面展示的政治内容旨在塑造他们的观点。就在几周前,Facbeook曾披露其已经从平台上删除了多个涉嫌具有可疑政治动机的页面。现在它又公布了第二次大规模的清除活动–删除了652个页面、群组和账号,据称这次来自伊朗。 这一可疑活动于上月首次披露,当时一家名为FireEye的网络安全公司通知Facebook,他们认为这是一场可疑的、有影响力的宣传活动。据称,这些账号来自伊朗,其目的是利用各种相关账号传播反沙特、反以色列和亲巴勒斯坦的内容。 FireEye在最初的分析报告中指出,总体来说,这一活动背后的意图似乎跟推动伊朗政治利益相关,包括反沙特、反以色列和亲巴勒斯坦的主题以及促进支持美国对伊朗有利的具体政策。这家公司还表示,由于这些干预运动的影响范围非常广,所以它的目标并非只是针对即将到来的美国中期选举,而是要更广泛地影响到世界各地的政治对话活动。 除了这批伊朗账号之外,Facebook还披露,他们删除了美国政府消息源确认跟俄罗斯情报服务机构相关的页面、群组和账号,至于清除了多少并未公布。据称,这些新的干预活动并没有明确表现出跟美国的关系,反而更加关注叙利亚和乌克兰并传播亲俄罗斯和亲阿萨德的宣传。 就在Facebook披露这一消息的前一天,微软数字犯罪部门表示他们已经向美国联邦法院提出申请,要求转移对据称跟一个叫做Strontium的俄罗斯军事情报组织有关的六个的控制权。 微软总裁兼首席法律官Brad Smith表示,Strontium对这些域名的收购暗示了2016年美国总统大选和2017年法国总统大选期间的类似活动。 Facebook网络安全政策主管(Nathaniel Gleicher在一份声明中说道:“我们正与美国执法部门密切合作,对他们的帮助表示感谢。调查工作正在进行中——考虑到敏感性,我们不会没有分享更多关于我们删除内容的信息。”   稿源:cnBeta,封面源自网络;