“阿里的正义”（Edalat-e Ali）黑客团伙声称，对入侵伊朗国家电视台及广播电台的现场直播负责。这次攻击中断并篡改了伊朗总统易卜拉欣·莱希在革命日仪式上的演讲画面。 2月11日，伊朗总统易卜拉欣·莱希在德黑兰的阿扎迪广场发表演讲，与聚集在这里的大批民众庆祝国家成立44周年。本是政府展示群众基础的大好时机，但此次活动却遭到黑客团伙“阿里的正义”的破坏。 黑客干扰了国家电视台的正常播报，转而放送“哈梅内伊去死”的口号，并敦促民众从政府银行中取出资金。此外，他们还鼓励公民参加定于2023年2月16日举行的反政府抗议活动。 图：“阿里的正义”中断了伊朗国家电视台的直播节目 驻德国的伊朗记者Bamdad Esmaili已经在自己的推特账户上证实了此次网络攻击。另一方面，阿里的正义团伙也在其Telegram频道上公布了攻击活动。根据外媒Hackread看到的一份声明，该团伙宣称对入侵广播和电视直播负责。 “我们阿里的正义组织已入侵伊朗伊斯兰共和国的广播与电视播报。首先，阿里的正义要向伊朗这个热爱自由的国家表示哀悼，既悼念这新的十年、也哀悼刽子手哈梅内伊对这个国家的不洁玷污。” “阿里的正义”组织 “阿里的正义”是谁？ 值得注意的是，阿里的正义是一个知名的黑客团伙，过去几年来一直在与伊朗政府作对。他们近期曾发动一系列黑客攻击，包括在2022年10月导致伊朗国营电视台发生直播中断。 2021年8月，该团伙还曾入侵了德黑兰北部一处监狱设施的计算机系统和安保摄像头，导致内部恶劣关押条件与严重侵犯人权行为的录像泄露。 伊朗、抗议、黑客与黑客行动主义者 自2022年9月以来，伊朗一直饱受网络攻击侵扰。当时，有匿名黑客发起了OpIran行动，支持伊朗民众因22岁库德族女孩玛莎·艾米妮(Mahsa Amini)之死发起的抗议。 艾米妮因未按规定佩戴头巾而遭到“指导巡逻队”，即德黑兰道德警察的逮捕，并在拘留期间死亡。 艾米妮之死引发了抗议者与政府当局间的冲突，对抗导致部分民众被捕和死亡。阿里的正义发动的这次最新攻击，也是为了支持伊朗方面的抗议者。 但伊朗政府坚持要对付抗议者，同时世界各地的黑客行动主义者也已经把矛头指向伊朗的关键基础设施。     转自 安全内参，原文链接：https://www.secrss.com/articles/51825 封面来源于网络，如有侵权请联系删除  

美国调查新闻网站“拦截者”（the Intercept）曾通过秘密渠道获得一批关于伊朗政府开发和建立移动通信监控体系的资料，并于2022年10月与加拿大网络安全实验室“公民实验室”（Citizen Lab）联手对其进行了分析，对伊朗方面使用的移动通信监控体系进行了初步揭秘。 伊朗“合法拦截系统”（LIS） 在伊朗，官方对移动通信用户进行监控有法律方面的保证。 伊朗通信管理局（CRA）曾制定相关条款，要求伊朗国内所有移动通信运营商都必须授予CRA特殊权限，使后者能够直接进入运营中的移动通信系统，执行获取用户信息、更改用户业务等操作。伊朗通信管理局将上述规定称为“合法拦截”条款。制定该条款的目的，在于储存移动用户信息、允许或阻止用户接入移动通信服务以及查看用户历史通话记录、发送短信内容以及移动数据使用情况，等等。 “公民实验室”尝试根据“拦截者”网站获得的资料，建立起伊朗通信管理局对国内用户实施通信监控的模型。 被称为“合法拦截系统”（Legal Intercept System，LIS）的伊朗移动通信监控系统是伊朗通信管理局在国内最大通信运营商Ariantel公司配合下组建的，主要包括合法拦截（LI）、非法设备控制（CID）、SHAHKAR系统和SHAMSA系统等四个子系统。 合法拦截系统主要用于监视移动通信设备的使用情况和活动控制，可以从用户处获取移动通信业务使用情况，必要时瘫痪和更改用户的移动通信接入； 非法设备控制系统可以在移动通信用户使用的SIM卡服务状态发生变化时向伊朗通信管理局发出提醒和警告； SHAHKAR系统实际上是一个能够储存伊朗所有移动用户信息的数据库，可用于检查用户的有效性。伊朗通信管理局一旦确定用户无效，可通过该系统阻止其注册尝试。另外，如果有用户试图转入其他移运通信运营商、更改电话号码或更新订阅信息，SHAHKAR系统都会向伊朗通信管理局发出提醒； SHAMSA系统相当于一个可以收集大量语音和短信息呼叫记录以及数据调取IP记录的接口。 在伊朗通信管理局对移运通信进行监控的活动中，Ariantel公司发挥的主要作用是为“合法拦截系统”提供了“关键组成元素”，即“业务支持系统”。该系统可以提供呼叫详细记录（CDR）、SIM卡更新等信息，可充当位置归属寄存器和用户服务器等，能够确认用户的网络实时位置，并授予其语音、短信息以及数据服务等权限。 伊朗通信管理局可借助该系统，使用多个API命令对用户信息进行实时查询，并向运营商下达实时控制命令。另外，该系统还可以把CDR等用户使用记录从移动运营商系统转移进SHAMSA系统进行存储。 “拦截者”网站获得的资料显示，Ariantel公司可能还使用了来自加拿大的融合业务支持系统（BBS）等软件产品来向“合法拦截系统”提供信息。 作为移动系统中的主力应用产品，BBS可用来储存用户、配置、业务费用支付、业务管理等信息。经改进后，该系统可在用户不知情的情况下，一边向“合法拦截系统”提供用户的详细使用信息，一边执行对其新业务或业务更新查询请求， 从姓名到住址，用户隐私一览无遗 对所获资料进行分析后，“公民实验室”提取了“合法拦截系统”使用的部分API控制命令并将其分为监视与控制两类。 GetIPDR、GetCdr、FullSearchByNum、BillingInfoSearch等为监视类命令。CDR可通过这些命令对用户在特定时间段内的语音呼叫和短消息记录、用户的移动服务和个人详细信息、计费信息、位置信息等情况进行检索和获取； 控制类命令包括ApplySusp（申请暂停）、ApplyDivert（应用转移）、Force2GNumber（强制转入2G信号）、SuspOrder（暂停服务）等，可用来阻止所有呼入呼出的语音通话或断开当前正在进行的通话、删除用户的呼叫转移设置或将所有来电转移到另一个号码、禁用所有 3G 和 4G 数据服务、强制用户的手机仅使用 2G 网络、阻止移动服务订单或阻止用户更改移动服务的请求。等等。 通过“合法拦截系统”的四大子系统，伊朗政府可以获得国内移动通信用户的多种信息。 资料显示，SHAHKAR系统还可以通过某种与SIM卡注册相关的API接口，在SIM卡激活动的过程中获取其内登记的信息，同时对这些信息进行筛查，以确定是否批准该SIM的激活动请求。 “拦截者”网站对所获资料综合梳理后确认，伊朗政府可以通过“合法拦截系统”获取以下用户个人信息： 姓名；家庭；父亲姓名；出生证号码；出生日期；出生地点；家庭电话号码；电子邮件地址；性别；邮政编码；国籍；护照号码；通信地址/家庭住址。 严格来说，上述信息均属用户隐私。但在强大的“合法拦截系统”面前，隐私已毫无秘密可言。 SIAM，支撑“合法拦截”的核心工具 据悉，伊朗通信管理局对“合法拦截系统”的使用是通过多款软件或服务完成的。在众多“工具”中，一款被称为“SIAM”的网页服务API堪称核心。 根据“拦截者”网站的说法，SIAM是一款“躲藏在伊朗移动通信系统背后使用的电脑工具”，拥有追踪手机用户位置、读取文本信息、强迫手机通信降网减速等多达40种功能。使用者可通过发布远程控制命令的方式，更改、扰乱、监视移动通信用户的手机使用情况。 迫使手机通信降网减速是SIAM的重要功能之一。“拦截者”网站对所获资料进行分析后指出，伊朗通信管理局可借助该工具对手机用户的网络连接进行远程控制，使用“Force2GNumber”命令迫使目标手机连接从5G、4G或3G网络降至2G网络。这项技术也颇受美国执法部门青睐。他们会使用某种专用设备，让2G信号对某个小范围区域进行覆盖，迫使区域内的手机不得不接入2G网络。 “拦截者”网站认为，迫使手机通信降网减速的操作可以达成三个目的。 首先是更有效地拦截、破解移动通信用户的语音通话和文本信息数据。目前移动通信大多基于4G甚至5G网络进行，其内嵌的加密系统功能强悍，可以最大限度地防止语音通话或文本信息被窃取。与之相比，1991年开始使用的2G网络不仅传输速度慢，所传输的数据很容易遭到拦截和窃取，而且在数据加密方面漏洞百出，使用该网络进行的语音通话或文本信息很容易被破解。 其次是更有效地阻止用户使用常规通话之外的社交通信软件。2G网络不仅传输速度慢，而且使用的传输协议“陈旧古老”，无法兼容目前常用的WhatsApp、Signal等现代社交通信软件。换句话说，运行于2G网络的手机无论性能多么先进，都只能进行常规的语音呼叫以及文本信息传送，无法使用流行的社交软件进行交流和沟通。 第三是对用户的数字帐户进行入侵。“拦截者”网站援引网络安全专家的话称，在2G网络下运行的手机更加容易被“入侵”。该网络只能使用双重身份验证，更高级、更安全的多重因素身份验证无法运行。因此使用2G网络的手机很容易遭到黑客入侵，进而造成手机数字帐户的丢失。 对手机用户进行定位和追踪是SIAM的另外一个重要功能。CRA可借此追踪特定个人的移动情况，并对某个特定地点现场所有人员进行身份确认。 具体来说，操作者可以向SIAM发出“LocationCustomerList”指令，确认某特定信号发射塔连接了哪些手机号码，以及使用这些号码的手机的国际移动设备识别码（IMEI）。 国际移动设备识别码即通常所说的手机序列号或手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。手机的国际移动设备识别码不可更改，所以即使用户更换SIM卡也不能隐藏身份。 在收集电话号码或手机国际移动设备识别码的过程中，SIAM还会对所获数据进行分析，判断出号码使用者的身份，以及他们的通话时间、具体地点，等等。 “公民实验室”安全事务研究员加里·米勒评论此功能时说，SIAM操作者可以轻而易举地确定哪些手机号码以及他们的使用者在敏感区域聚集，并视情况做出下一步动作。比如年初伊朗中部伊斯法罕省爆发抗议活动时,当地警察部门就确定了处于敏感地区内的电话号码并向其使用者发出警告，称他们正处于“不稳定区域”，并要求他们不要参与“不稳定活动”。很多社交软件用户也声称收到了类似信息，警告他们远离发生抗议活动的区域，不要在线上与反“反政府分子”联系。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jkdWI0cDV4wt6hgs_debcQ 封面来源于网络，如有侵权请联系删除

以色列时报报道称，以色列国家安全机构一年前就已发现，有伊朗黑客团伙控制了以色列数十台安保摄像头，但并未采取任何阻止措施。直到上周一晚间有报道称，该黑客团伙发布了来自以色列各地的多段视频，包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。 此次播报为前期预告，完整调查报道在次日（12月20日）正式播出。以色列公共广播公司Kan称，尽管以色列官员早已发现黑客团伙Moses Staff的活动，但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。 该团伙在其Telegram频道上公布了多地视频画面，包括以色列海法拉斐尔国防承包工厂周边镜头，以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。 该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面，该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。 根据Kan广播公司的介绍，黑客团伙在很长一段时间内能够随意控制摄像机，包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。 安全官员在接受Kan采访时表示，Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。 Kan广播公司提到，完整报道将探讨黑客在监视以色列高级官员方面做出的尝试，同时会揭露Moses Staff背后的推动力量。 Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责，此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。 Moses Staff去年还曾表示其窃取到关于士兵的敏感信息，具体内容似乎来自LinkedIn上的公开资料；此外，该团伙还通过商业网站获得了以色列航拍图像。 还有另一条未经证实的消息，该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。   转自 安全内参，原文链接：https://www.secrss.com/articles/50405 封面来源于网络，如有侵权请联系删除

Deep Instinct的威胁研究团队发现了MuddyWater APT(又名SeedWorm、TEMP.Zagros和Static Kitten)进行的一项新活动，目标是亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国。 专家们指出，该运动展示了最新的TTP。 第一次MuddyWater攻击发生在2017年底，目标是中东地区的实体。 多年来，该组织不断发展，不断增加新的攻击技术。而后，该组织还将欧洲和北美国家作为攻击目标。今年1月，美国网络司令部(USCYBERCOM)正式将MuddyWater APT与伊朗情报与安全部(MOIS)联系起来。 Deep Instinct观察到，9月份开始的这次活动与过去的活动不同，它使用了一种名为“Syncro”的新远程管理工具。MuddyWater并不是唯一一个滥用Syncro的威胁者，该工具也被用于BatLoader和Luna Moth活动 APT小组使用HTML附件作为诱饵，并使用其他提供者托管包含远程管理工具安装程序的档案。 HTML附件通常被发送给收件人，而不会被防病毒和电子邮件安全解决方案阻止。 今年7月，威胁参与者被发现使用名为“promotion.msi”的安装程序提供的ScreenConnect远程管理工具。名字是“促销”。Msi也用于当前活动中雇用的安装人员。 此实例正在与另一个MuddyWater MSI安装程序进行通信，该安装程序名为Ertiqa.msi，这是一个以沙特人的名字命名的组织。在当前的浪潮中，MuddyWater使用了相同的名称。Ertiqa.msi，但与Syncro安装程序。”Deep Instinct的分析，“目标地理位置和部门也与MuddyWater之前的目标一致。综合来看，这些指标为我们提供了足够的证据，证实这就是MuddyWater。” Syncro提供了一个21天的试用，提供了一个功能齐全的web GUI来完全控制计算机。 “您选择MSP要使用的子域。”报告继续说道，“在调查MuddyWater使用的一些安装程序时，我们发现每封独特的邮件都使用了一个新的MSI。在大多数情况下，MuddyWater使用单个MSI安装程序的单个子域。” 专家们还分享了最近活动的妥协指标(ioc)。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/Jt5MMngfkam7Xm53DWwB-A 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，黑客组织“国内小猫”（Domestic Kitten）正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发更新版本的 FurBall的Android 恶意软件。 “国内小猫”介绍 Domestic Kitten，也称 APT-C-50，据称是伊朗的一个黑客组织，主要是从受损的移动设备获取敏感信息，至少从 2016 年起，就一直非常活跃。 趋势科技（Trend Micro）在 2019 年一项分析报告中表示，APT-C-50 可能与另一个名为“弹跳高尔夫”（Bouncing Golf）的黑客组织有联系。（Bouncing Golf主要针对中东国家进行网络间谍活动）。 针对部分伊朗公民发动攻击 据 Check Point 报道，APT-C-50 依赖于伊朗博客网站、电报频道和短信等不同攻击载体，诱使潜在受害者安装恶意应用程序，主要攻击对象包括内部持不同政见者、反对派力量、ISIS 倡导者、伊朗库尔德少数民族等可能对伊朗政权稳定构成威胁的伊朗公民。 无论黑客采用何种方法，翻译应用程序都充当了一个管道，传递一种以色列网络安全公司命名为 FurBall 的恶意软件（KidLogger 的定制版本），该软件可以从设备中收集和过滤个人数据。ESET 发现最新一轮攻击活动主要涉及以翻译服务为幌子的应用程序。 应用程序（“sarayemaghale.apk”）是通过一个模仿 downloadmaghaleh[.]com 的假冒网站发布，该网站是一个合法网站，主要提供从英语翻译成波斯语的文章和书籍。 值得一提的是，该组织以前使用安全、新闻、游戏和壁纸等应用程序隐藏恶意软件。   转自 Freebuf，原文链接：https://www.freebuf.com/news/347519.html 封面来源于网络，如有侵权请联系删除

安全内参10月10日消息，支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报，在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。 在上周六晚间的电视转播期间，屏幕上出现了一条简短视频，“你的双手，沾满我们年轻人的鲜血。” “加入我们，站起来。”黑客组织Edalat-e Ali（阿里的正义）宣称对此负责。 在这波抗议浪潮中，活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。 伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后，街头抗议再次震动德黑兰等多处伊朗城市。。 伊朗国家通讯社IRNA报道称，“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”，示威者们“高呼口号，还放火烧毁了公共财产，包括一处警察亭。” 艾米妮9月16日身故以后，民众的愤怒被彻底点燃。就在三天前，这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定，而被臭名昭著的道德警察逮捕。 篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称，这场镇压活动已经夺走至少95人的生命。 伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称，9月30日，锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱，导致另外 90 人丧生。 伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀，另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计，目前革命卫队方面的死亡人数已经增加至14人。 “到处都是抗议” 伊朗遭受了近三年来最严重的一波社会震荡，包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。 美国活动家兼记者奥米德·梅马里安（Omid Memarian）在推特上说，“来自德黑兰的视频表明，这座城市里到处都是抗议，已经蔓延到了每一个角落。” 根据亨沃格人权组织称于上周六录制的视频，在艾米妮的家乡库尔德斯坦萨基兹，女学生们高呼口号并走上街头，在空中挥舞着头巾。 尽管伊朗已经全面中断了国内互联网连接，封锁了各大主要社交媒体平台，但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。 其中一段视频显示，在库尔德斯坦首府萨南达吉，一名男子被枪杀在自己的车内，该省警察局长阿里·阿扎迪（Ali Azadi）随后称此人是“被反革命势力所杀害”。 另一段在网上引起轩然大波的视频中，愤怒的男人们似乎将一名巴斯基民兵围住，并疯狂殴打。 还有视频片段显示，据称在伊朗东北部的马什哈德，一名年轻女性被枪杀。 社交媒体上许多用户表示，这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀，随后长期成为伊朗反对派的象征。 抗议者的对抗策略 面对暴力与网络限制，抗议者们采取了新策略，开始在公共场所传播自己的抵抗信息。 德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅，写道“我们不再害怕，我们将要抗争。”法新社核实了图片的真实性。 在其他画面中，还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌，从“警察服务人民”改成了“警察谋杀人民”。 有传言称，伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里（Ali Mohamad Mokhtari）反驳道，“这种说法纯属造谣，德黑兰的喷泉颜色没有任何变化。” 伊朗指责有外部势力在煽动抗议活动，否则全球数十个城市不可能同时组织起群体示威。与此同时，美国、欧盟及其他多国政府都对伊朗出台了新的制裁。 关于艾米妮的死，伊朗政府上周五公布了法医的调查结果，表示她的死因是长期健康问题，并非活动人士宣称的头部受到打击。 艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法，“我亲眼看到玛莎的耳朵和后颈流出了鲜血。” 转自 安全内参，原文链接：https://www.secrss.com/articles/47788 封面来源于网络，如有侵权请联系删除

美国财政部海外资产控制办公室（OFAC）昨天宣布，对隶属于伊朗伊斯兰革命卫队（IRGC）的10名个人和两家实体实施制裁，理由是他们参与了勒索软件攻击。 美国财政部声称，过去两年以来，这些个人涉嫌参与多起勒索软件攻击，并入侵了美国和全球其他地区组织的网络。 这些恶意活动，还与多家网络厂商分别跟踪的国家资助黑客活动存在交集，具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。 美国财政部表示，“已经有多家网络安全公司发现，这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击，包括勒索软件和网络间谍活动。” “该团伙针对全球各组织及官员发起广泛攻击，重点针对美国及中东地区的国防、外交和政府工作人员，同时也将矛头指向媒体、能源、商业服务和电信等私营行业。” 三名成员信息被悬赏3000万美元 作为伊朗伊斯兰革命卫队的附属组织，该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC（简称Najee Technology）和Afkar System Yazd公司（简称Afkar System）员工，其中包括： Mansour Ahmadi：Najee Technology公司法人、董事总经理兼董事会主席 Ahmad Khatibi Aghda：Afkar System公司董事总经理兼董事会成员 其他雇员及同事：Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo”in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh 美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员，理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部（MOIS）开展合作。 一年之后，美国财政部又制裁了Rana Intelligence Computing公司及部分员工，称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。 在此次制裁公告中，美国国务院提供3000万美元，征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击，面临美国司法部的指控。 图：悬赏海报（美国国务院） 美国安全公司提供溯源证据链 昨天，美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告，描述了该威胁团伙的恶意活动并披露了技术细节。 安全公司Secureworks也紧跟发布一份报告，证实了美国财政部的信息。 Secureworks公司表示，由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误，该公司成功将Nemesis Kitten（也称Cobalt Mirage）团伙同伊朗的Najee Technology、Afkar System两家公司，以及名为Secnerd的另一家实体联系了起来。 Secureworks公司反威胁部门（CTU）在今年5月的报告中，也曾提到涉及Nemesis Kitten的类似恶意攻击（与Phosphorus APT团伙存在交集）。 上周，微软表示，Nemesis Kitten（也称DEV-0270）团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙（又名Charming Kitten和APT35）的子部门，为个人或公司获取非法收入。” 微软将该团伙与多家伊朗企业联系了起来，其中包括Najee Technology、Secnerd和Lifeweb。 微软解释道，“该团伙的攻击目标有很大的随机性：他们会首先扫描互联网以查找易受攻击的服务器和设备，因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”   转自 安全内参，原文链接：https://www.secrss.com/articles/46950 封面来源于网络，如有侵权请联系删除

伊朗政府正计划在公共交通工具上使用面部识别技术，以识别那些不遵守严格戴头巾新法律的妇女，因为该政权继续对妇女的着装偏好进行越来越严厉的打击。伊朗促进美德和防止罪恶总部的秘书穆罕默德-萨利赫-哈希米-戈尔帕耶加尼在最近的一次采访中宣布，在该国强硬派总统易卜拉欣-拉伊西签署关于限制妇女着装的新法令后，政府正计划在公共场所使用监控技术对付妇女。 该法令于8月15日签署，在7月12日全国”头巾和贞洁日”之后一个月，该节日引发了全国范围内的抗议，妇女们在社交媒体上发布了她们在街头、公共汽车和火车上露头的视频。最近几周，伊朗当局以一连串的逮捕、拘留和在电视上强迫招供作为回应。 头巾是穆斯林妇女戴的一种头饰，在1979年伊朗革命后成为强制性规定。然而，在此后的几十年里，妇女们已经突破了规定的着装准则的限制。一些因违反新法令而被捕的妇女在网上发布了她们因没有正确佩戴头巾而在公共交通工具上受到骚扰的视频。其中一名28岁的Sepideh Rashno在社交媒体上流传了一段视频，她因”着装不当”而被一名同伴责骂，然后被代表Rashno的旁观者逼下了车，她因此被捕。据人权组织Hrana称，拉什诺被捕后遭到殴打，随后被迫在电视上向骚扰她的乘客道歉。 拉什诺不是第一个因在互联网上走红而遭受暴力镇压的人。2014年，六名伊朗人三男三女被判处一年监禁和91下鞭刑，因为他们在德黑兰随着法瑞尔-威廉姆斯的歌曲《Happy》跳舞的视频有超过15万次观看。自2015年以来，伊朗政府一直在逐步推行生物识别身份证，其中包括一个存储虹膜扫描、指纹和面部图像等数据的芯片。研究人员担心，这些信息现在将与面部识别技术一起用于识别违反规定着装的人，包括在街头和网络空间。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312677.htm 封面来源于网络，如有侵权请联系删除

伊朗一家主要钢铁公司周一表示，因遭遇网络攻击被迫停产。此次攻击还波及到另外两家工厂，成为近期针对伊朗战略工业部门的最大攻击活动之一。 伊朗政府尚未就此次胡齐斯坦国有钢铁公司及其他两家钢铁生产商遭受的破坏情况或攻击团伙做出回应。作为近几个月来破坏伊朗国内设施的最新案例，该地区的紧张局势将进一步加剧。 黑客曝光工厂故障监控画面，但公司CEO否认停产 一个匿名黑客团伙在社交媒体上宣称对此次攻击事件负责，表示攻击伊朗三大钢铁公司，是为了回应“伊朗的侵略行为。” 该团伙自称“Gonieshke Darande”，他们发布了据称拍摄自胡齐斯坦钢铁厂车间的闭路电视镜头。画面显示，钢坯生产线上的一台重型机械出现故障并引发了大火。 该团伙称，这些公司与伊朗准军事组织“伊斯兰革命卫队”有关，“这些公司受到国际制裁，却在限制下继续维持运营。” 伊朗中部城镇穆巴拉克（Mobarakeh）的一家钢铁厂表示，他们的系统同样遭受攻击。而国营媒体IRAN报道称，伊朗南部港口阿巴斯港的另一家工厂也是网络攻击的受害者。但两家工厂均未承认因为攻击而造成损失或停工。 胡齐斯坦钢铁公司则表示，由于“网络攻击”后引发的“技术问题”，工厂不得不停工，何时恢复将另行通知。该公司网站在周一也关闭了。 然而，该公司CEO Amin Ebrahimi却声称，胡齐斯坦钢厂已成功阻止网络攻击，生产、供应链和客户并未受到影响。对于黑客团伙公布的设施故障起火画面，他只字未提。 半官方媒体梅尔通讯社援引Ebrahimi的发言：“很幸运，我们把握时间、意识敏锐，这次攻击活动没有得逞。”他还补充称，预计公司网站将在周一之内上线，一切都将恢复“正常”。 当地新闻频道Jamaran报道称，攻击失败是因为当时工厂碰巧发生了停电，不在正常运营状态。 针对伊朗的网络攻势升级？ 近年来，伊朗遭受的网络攻击越来越多。作为长期受到西方世界制裁的国家，伊朗的网络更新速度一直不够理想，因此难以招架犯罪分子及国家支持黑客发起的勒索软件与入侵攻击。 在去年的一起重大事件中，伊朗燃油分配系统遭遇网络攻击，导致全国各地加油站瘫痪，愤怒的司机们排起了长队。而当时站出来宣布对攻击负责的，同样是这个Gonjeshke Darande黑客团队。 伊朗火车站曾遭遇过伪造延误信息攻击。该国的监控摄像头被黑客入侵，国营网站遭到破坏，臭名昭著的埃文监狱虐待视频也被泄露在网上。 安全厂商SentinelOne的首席威胁研究员Juan Andrés Guerrero-Saade表示，目前还不清楚近期针对伊朗发动网络攻击的幕后黑手是谁。但他表示，如果这些团伙开始向钢铁厂等工业控制系统目标下手，那无疑代表着攻击火力的升级。 在他看来，“攻击的基调已经开始发生变化。” 以色列特拉维夫大学的网络安全专家Lior Tabansky表示，在网络安全这片阴暗的战场上，人们往往很难辨别所谓的负责声明到底可不可信。 他认为，如果此次事件确实属于网络攻击，那发起方可能是以色列或者美国。“如果我是伊朗的高级官员，当我的钢铁部门或者其他重要战略部门遇到了网络攻击，那最大的可能性就是犹太复国主义者或者美帝国主义者干的。” 伊朗此前曾指责，美国和以色列通过网络攻击损害其国内基础设施。 在“震网”（Stuxnet）计算机病毒（外界普遍认为由美国和以色列共同开发）在2000年后期破坏了伊朗核设施中的大量离心机设备后，伊朗最终决定将大部分政府基础设施同互联网断开连接。 胡齐斯坦钢铁公司在伊朗具备重要地位 胡齐斯坦钢铁公司总部位于石油资源丰富的西南部胡齐斯坦省阿瓦士，并与另外两家大型国有企业一同垄断了伊朗的钢铁生产业务。 胡齐斯坦钢铁公司成立于1979年伊朗伊斯兰革命之前。在此后的几十年中，该公司一直使用由德国、意大利和日本企业供应的生产线。除了1980年代灾难性的两伊战争期间，伊拉克独裁领袖萨达姆派兵越界以外，这家钢铁厂一直在保持生产。 然而，针对伊朗核计划的严厉制裁，也迫使该公司考虑减少对外国零部件的依赖。 伊朗政府将钢铁企业视为关键部门。根据世界钢铁协会的数据，伊朗是中东地区领先的钢铁生产国，也是世界前十大钢铁生产国之一。其铁矿资源不仅为国内生产提供原材料，也被出口到意大利、中国和阿联酋等几十个国家。 然而，世界钢铁协会表示，伊朗上个月的粗钢产量仅为230万吨。出口下降的主要原因，是俄罗斯对乌开战后因受到制裁而无法正常对接西方市场，只能向东方买家大量抛售打折钢材，导致伊朗承接到的交易额显著缩水。   转自 安全内参，原文链接：https://www.secrss.com/articles/44055 封面来源于网络，如有侵权请联系删除

微软已获得法院命令，以扣押这家Windows巨头所使用的 41 个域名，该组织称这是一个伊朗网络犯罪组织，该组织针对美国、中东和印度的组织开展鱼叉式网络钓鱼活动。 微软数字犯罪部门表示，该团伙被称为Bohrium，对那些在技术、交通、政府和教育部门工作的人特别感兴趣：其成员会假装是招聘人员，以引诱标记在他们的 PC 上运行恶意软件。 “Bohrium 演员创建虚假的社交媒体资料，经常冒充招聘人员，”微软数字犯罪部门总经理 Amy Hogan-Burney 说。“一旦从受害者那里获得个人信息，Bohrium就会发送带有链接的恶意电子邮件，这些链接最终会用恶意软件感染目标的计算机。” 5月底，弗吉尼亚州东部的一家联邦地方法院向微软下达了紧急临时限制令；这使得该公司能够通过要求美国域名注册机构（例如 Verisign 和 Donuts）将域名转移到微软的控制之下来拆除Bohrium的基础设施。由于Microsoft命名的microsoftsync[dot]org等域已代表 Redmond转移到MarkMonitor，因此似乎扣押已经完成。 根据上周晚些时候公布的法庭文件 [ PDF ] Hogan-Burney ，微软声称不法分子利用网络域进行计算机欺诈、窃取帐户用户的凭据并侵犯微软的商标： Important work by the @Microsoft Digital Crimes Unit to share today. Our team has taken legal action to disrupt a spear-phishing operation linked to Bohrium, a threat actor from Iran. The court filings can be found here: https://t.co/jwZaRardcF — Amy Hogan-Burney (@CyberAmyHB) June 2, 2022 微软说指出Bohrium不仅在其网络钓鱼活动中滥用这家 IT 巨头的商标来欺骗人们交出他们的凭据，而且还试图破坏微软客户运行的计算机系统。工作人员还使用这些域来设置命令和控制服务器，以管理安装在这些计算机上的恶意软件。 此外，根据法庭文件，Bohrium 还破坏了“受害者计算机和微软服务器上的微软应用程序，从而利用它们来监控用户的活动并从他们那里窃取信息”。 微软牵头的行动取消了 ZLoader 僵尸网络域 微软跟踪锶域以阻止对乌克兰的攻击 微软将下一个 Exchange Server 版本推迟到 2025 年 拆除犯罪团伙基础设施的法院命令遵循了几个类似的法律策略，以破坏用于攻击微软客户的网络。最近，在4月，美国巨人宣布了长达数月的努力，以控制ZLoader犯罪僵尸网络团伙一直用来传播远程控制恶意软件和编排受感染机器的65个域。 这家科技巨头的数字犯罪部门从佐治亚州的一名美国联邦法官那里获得了一项法院命令，以接管这些域名，然后这些域名被定向到微软控制的污水坑，因此恶意软件的策划者无法利用它们与他们的僵尸网络进行通信。征用了Windows计算机。 同月，雷德蒙德夺取了由与俄罗斯有关的威胁组织 Strontium（又名 APT28 和 FancyBear）运营的 7 个互联网域，该组织正在使用该基础设施针对乌克兰机构以及美国和欧盟的智囊团，显然是为了支持俄罗斯入侵其邻国. 在4月份的扣押之前，微软曾15次使用此流程接管由Strontium控制的100多个域，该域被认为由俄罗斯外国军事情报机构 GRU 运营。     转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/Vo7MzoyTwr_sKwsBQ6D4MA 封面来源于网络，如有侵权请联系删除