标签: 伊朗

微软安全报告称美国多家国防公司被盯上 攻击者疑似来自伊朗

数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。 图片来自于微软 微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群,其身份尚未得到确认。一旦对他们的身份达到足够高的信任度,这个 ID 就会被改变为一个被命名的威胁行为者的 ID。 截至目前,DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒(Password Spraying),这显然意味着具有多因素认证(MFA)的账户对它有弹性。微软表示,超过 250 个订阅用户成为攻击目标,但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。 微软将这一活动与伊朗联系起来的一些理由如下。 根据生活模式分析,这一活动可能支持伊朗伊斯兰共和国的国家利益,与伊朗行为者在地理和部门目标上的广泛交叉,以及与源自伊朗的另一行为者在技术和目标上的一致性。 微软公司评估说,这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运,以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。 鉴于伊朗过去对航运和海上目标的网络和军事攻击,微软认为这一活动增加了这些行业的公司的风险,微软鼓励这些行业和地理区域的客户审查本博客中分享的信息,以防御这一威胁。 微软强调,DEV-0343 已经继续发展,并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量,列举 Exchange ActiveSync 或 Autodiscover 端点,使用后者来验证账户和密码,以及利用密码喷雾工具,如 o365spray。 微软建议客户也使用 MFA 和无密码解决方案,如Microsoft Authenticator,审查Exchange Online访问策略,并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sentinel列出了一些狩猎查询,客户可以利用它们来检测恶意活动。你可以在这里查看它们。   (消息及封面来源:cnBeta)

伊朗火车系统遭遇网络攻击 研究人员发现新威胁因素

据外媒报道,网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素–他们将其命名为MeteorExpress–这是一种以前从未见过的wiper。 7月9日,当地媒体开始报道针对伊朗火车系统的网络攻击,黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。 火车服务中断仅一天之后,黑客就关闭了伊朗运输部的网站。据路透社报道,在网络攻击目标成为道路与城市发展部的电脑后,该部门的门户网站和副门户网站都发生了瘫痪。 SentinelOne首席威胁分析师Juan Andres Guerrero-Saade在他的调查中指出,袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。 Guerrero-Saade指出:“目前,我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称,多亏了安全研究员Anton Cherepanov和一家伊朗反病毒公司,他们才得以重建这次攻击。“尽管缺乏具体指标的妥协,我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后,我们发现了一个陌生攻击者的指纹。” Guerrero-Saade表示,Padvish安全研究人员的早期分析是SentinelOne重建的关键,同时“恢复的攻击者伪造物包括更长的组件名称列表”。 “攻击者滥用Group Police来分发cab文件进行攻击。整个工具包由批处理文件组合而成,这些批处理文件协调了从RAR档案中删除的不同组件,”Guerrero-Saade解释道。 “档案用攻击者提供的Rar.exe解压,密码为’hackemall’。攻击组件是按功能划分的:Meteor基于加密配置加密文件系统,nti.exe破坏MBR,mssetup.exe则锁定系统。” SentinelOne发现,大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。 该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里,批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件,这里使用了一个精灵宝可梦主题的密码“hackemall”,这也是在攻击期间在其他地方引用的。 “此时,执行开始分裂成其他脚本。第一个是’cache.bat’,它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道,“’cache.bat’执行三个主要功能。首先,它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件,在这种情况下它会退出。最后,’cache.bat’将为其所有组件创建Windows Defender排除并有效地扫清了成功感染的障碍。” 报告解释称,这个特定的脚本对重建攻击链具有指导意义,因为它包括一个攻击组件列表,能让研究人员可以搜索特定的东西。 在部署了两个批处理文件,机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后,update.bat将调用”msrun.bat”,它将”Meteor wiper executable as a parameter”。 Guerrero-Saade指出,另一个批处理文件msrun.bat在一个屏幕锁和Meteor wiper的加密配置中移动。名为”mstask”的脚本创建了一个计划任务,然后设置它在午夜前5分钟执行Meteor wiper。 “整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件,不同的rar档案包含混杂的可执行文件,甚至预期的操作被分成三个有效载荷:Meteor清除文件系统、MSInstall .exe锁定用户、nti.exe可能破坏MBR,”Guerrero-Saade写道。 “这个复杂的攻击链的主要有效载荷是放在’env.exe’或’msapp.exe’下的可执行文件。在内部,程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障,但它是一个具有广泛功能的外部可配置wiper。” 据报道,Meteor wiper只提供了一个参数,一个加密的JSON配置文件”msconf.conf”。 Meteor wiper删除文件时,它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道,这些只是Meteor能力的冰山一角。 虽然在袭击伊朗火车站时没有使用,但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。 Guerrero-Saade指出,wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而,操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明,尽管开发人员拥有先进的实践,但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是,该样本是在部署前6个月编制的且没有发现错误。其次,这段代码是自定义代码的奇怪组合,其封装了开源组件(cppt . httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC 4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。” 当SentinelOne的研究人员深入研究Meteor时,他们发现,冗余证明wiper是由多个开发人员添加不同组件创建的。 报告还称,wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。 研究人员无法将攻击归咎于特定的威胁行为者,但他们指出,攻击者是一个中级水平的玩家。 Guerrero-Saade继续说道,SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。 尽管他们无法确定攻击的原因,但他们指出,攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份,这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。 据路透社报道,袭击发生时,伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。   (消息及封面来源:cnBeta)  

伊朗支持的黑客入侵了以色列国防军前参谋长的电脑

据外媒报道,一名为伊朗工作的网络罪犯攻击了一名前以色列国防军(IDF)参谋长的电脑并获得了他整台电脑数据库的访问权限。Channel 10确认该名黑客是Yaser Balgahi。据报道,他事后吹嘘自己的黑客攻击行为,然而他在不知情的情况下留下了自己身份的痕迹。 这一情况使得伊朗关闭了针对全球1800人的网络行动,其中包括以色列军方将领、波斯湾人权捍卫者和学者。 《以色列时报》在以色列网络安全公司Check Point披露了伊朗这一黑客行动两周后首次对外做了报道。Channel 10则在周二做了报道。Check Point Software Technologies CEO Gil Shwed在1月底告诉以色列电台,攻击开始于两个月前,另外目标收到了意在在他们的电脑上安装恶意软件的电子邮件。 据悉,超1/4的收件人打开了邮件,无意中下载了间谍软件,这让黑客得以从他们的硬盘中窃取数据。 而在过去两年的时间里,以色列遭到了数次网络攻击。据官员称,一些渗透行动是由跟真主党和伊朗政府有关的黑客实施的。 1月底,以色列能源部长Yuval Steinitz表示,以色列电力管理局是一次严重的网络攻击的目标。不过他没有具体说明袭击的来源。 今年6月,以色列网络安全公司ClearSky宣布,它探测到一波来自伊朗的针对以色列和中东目标的持续网络攻击,以色列将军们也在攻击对象之列。据这家公司披露称,其目的是间谍活动或其他民族国家利益。 根据ClearSky的说法,黑客使用了定向钓鱼等技术,他们利用看似合法和可信的虚假网站来获取用户身份数据。他们成功渗透了以色列境内的40个目标和国际上的500个目标。在以色列,攻击目标包括退休将军、安全咨询公司雇员和学术学者。 Shwed警告称,网络攻击的频率超过了网络安全投资的频率。 Jerusalem Venture Partners的执行合伙人Gadi Tirosh是以色列在网络安全技术领域仅次于美国的最活跃投资者之一。 目前,以色列有173家大到足以吸引风险资本和其他主要投资者的公司。根据以色列风险资本(IVC)研究中心本月早些时候发布的一份报告,以色列目前有430家网络公司,自2000年以来,平均每年有52家新的网络创业公司成立。   (消息及封面来源:cnBeta)

伊朗 RANA Android 恶意软件监视即时通讯

12月7日,研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发,可以让攻击者从流行的即时通讯应用程序中监视私人聊天,强迫Wi-Fi连接,自动接听特定号码的来电,以窃听通话。 今年9月,美国财政部对伊朗黑客组织APT39(又名Chaffer、ITG07或Remix Kitten)实施制裁。在制裁的同时,美国联邦调查局(FBI)发布了一份威胁分析报告,描述了Rana Intelligence Computing公司使用的几种工具,该公司充当了APT39组织进行恶意网络活动的幌子。 FBI正式将APT39的活动与Rana联系起来,详细列出了8套独立且不同的恶意软件。这些恶意软件是该组织用来进行电脑入侵和侦察活动的,其中包括一款名为“optimizer.apk”的Android间谍软件,具有信息窃取和远程访问功能。 该机构表示:“APK植入程序具有信息窃取和远程访问功能,在用户不知情的情况下,可以在Android设备上获得根用户访问权限。” “主要功能包括从C2服务器检索HTTP GET请求、获取设备数据、压缩和AES加密收集的数据,并通过HTTP POST请求将其发送到恶意C2服务器。” ReversingLabs在最新发表的一份报告中,对这种植入程序(“ com.android.providers.optimizer”)进行了更深入的研究。 据研究人员Karlo Zanki称,这种植入程序不仅可以出于政府目的进行音频录制和拍摄照片,还可以添加自定义的Wi-Fi接入点并强制受损设备连接。 Zanki在分析报告中表示:“这项功能的引入可能是为了避免因目标手机账户上数据流量的异常使用而被发现。” 除此之外,它还可以自动接听来自特定电话号码的电话,从而允许攻击者按需打开对话。 除了支持接收通过SMS消息发送的命令外,联邦调查局引用的最新“optimizer”恶意软件还滥用了辅助功能,以访问即时消息应用程序,如WhatsApp、Instagram、Telegram、Viber、Skype和一个名为Talaeii的非官方伊朗电报客户端。 值得注意的是,在伊朗人权中心(CHRI)以安全考虑为由披露消息后,Telegram此前曾在2018年12月向Talaeii和Hotgram的用户发出“不安全”警告。 Zanki总结说:“当目标锁定个人时,攻击者通常希望监控他们的沟通和行动。手机最适合实现这样的目标,因为大多数人都会随身携带。由于安卓平台占据了全球智能手机最大的市场份额,因此它是移动恶意软件的主要目标。”       消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软称伊朗黑客正在利用今年危害性最大的 Zerologon 漏洞

微软周一表示,伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器,这些服务器是大多数企业网络的核心,并使入侵者能够完全控制其目标。 微软今天在一条简短的推文中表示,伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的,已经持续了至少两周。 MSTIC将这些攻击与一个伊朗黑客组织联系在一起,该公司追踪到的这个组织名为MERCURY,但他们MuddyWatter的绰号更为人所知。 该组织被认为是伊朗政府的承包商,在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。 根据微软的《数字防御报告》,这个组织历史上曾针对非政府组织、政府间组织、政府人道主义援助和人权组织。 尽管如此,微软表示,”MERCURY”最近的目标包括 “大量参与难民工作的目标 “和 “中东地区的网络技术提供商”。 但当安全研究人员推迟公布细节,给系统管理员更多的时间打补丁时,Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布,在几天内就引发了第一波攻击。 漏洞披露后,国土安全部给联邦机构三天时间打补丁或将域控制器从联邦网络中断开,以防止攻击,该机构预计攻击会到来,几天后,它们确实来了。 MERCURY攻击似乎是在这个概念验证代码公布后一周左右开始的,大约在同一时间,微软开始检测到第一个Zerologon利用尝试。     (稿源:cnBeta,封面源自网络。)

美国起诉 2 名黑客,称其为报复伊朗将军遭暗杀而攻击多家网站

据俄塔社15日报道,美国司法部网站在周二发布声明称,美国当局起诉了两名“黑客”,称他们为报复美国暗杀伊朗“圣城旅”前指挥官卡西姆·苏莱曼尼将军而对美国进行了网络攻击。 美国司法部称,一名19岁的伊朗人和一名25岁的巴勒斯坦人被控犯有网络攻击罪和串谋实施网络攻击。美国负责国家安全事务的助理司法部长约翰·德默斯称,“作为报复美国开展军事行动暗杀苏莱曼尼一事的运动的一部分,这两名黑客攻击了无辜的第三方。”德默斯强调,这两人正在伊朗和巴勒斯坦“躲藏起来,避免遭受审判”。 美国当局指控称,这两名“黑客”于2019年12月开始合作,在美国国防部今年1月3日宣布在伊拉克巴格达国际机场附近开展无人机袭击打死苏莱曼尼之后,他们入侵了58个美国网站。在遭到攻击之后,这些网站的页面上都出现了以伊朗国旗为背景的苏莱曼尼将军的肖像,上面用英语写着“Down with America”。 美国司法部网站声明截图 美国司法部在声明中强调,这些被指控的黑客如果承认自己犯有共谋罪,将面临最高5年的监禁和最高25万美元的罚款,如果被控实施网络犯罪,将面临最高10年的监禁,以及最高25万美元的罚款。目前,美国马萨诸塞州地方法院正在审理此案。 在美国空军去年12月29日对伊拉克民兵组织“真主党旅”位于叙利亚和伊拉克境内的5个目标发动数次袭击之后,中东局势急剧升级。美国五角大楼当时表示,“真主党旅”对此前发生在伊拉克基尔库克基地的袭击事件负有责任,袭击导致美国一名平民雇员丧生。 伊朗将军苏莱曼尼 资料图 1月3日,美国国防部宣布美军在巴格达机场附近发动无人机袭击打死伊朗将军苏莱曼尼,并表示袭击其实是“防御性的”,目的是保护驻伊拉克美军和其他国家的军队。美方还指出,苏莱曼尼似乎同意在美国驻巴格达大使馆前举行抗议活动。作为回应,伊朗在1月8日凌晨对美军在伊拉克的两个目标:艾因-阿萨德基地和埃尔比勒机场发动了导弹袭击。     (稿源:新浪科技,封面源自网络。)

美指控两名伊朗人入侵网络窃取并贩卖数据

据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。 据了解,该案件于当地时间周二在新泽西州的联邦法院提起,被指控的几个目标就在该州。 起诉书称,袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称,这些网络攻击至少可以追溯到2013年。 据称,其中一个目标是一个总部设在纽约的国际组织,该组织提倡非军事和安全使用核技术。起诉书称,在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前,Heidarian和Farhadi窃取了敏感的核信息。 起诉书称,另一个目标是阿富汗的一个政府机构,该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示:“除非各国政府拒绝为网络犯罪提供安全港,否则我们不会将法治引入网络空间。今日的被告现在会明白,为伊朗政权服务不是一种资产而是一种犯罪枷锁,他们将一直背负着这种枷锁,直到他们被绳之以法的那一天。”     (稿源:cnBeta,封面源自网络。)

研究人员:数据泄露事件显示伊朗使用聊天应用进行间谍活动

据外媒 TheStar 报道,乌克兰安全研究人员Bob Diachenko每天都会花一部分时间在互联网上搜索一些不安全的数据,以修复这些数据,以免被黑客利用。上个月,他发现了一个不安全的服务器,存储了4200万个信息,几乎都是来自伊朗的信息,并与聊天应用Telegram有关。 至于是谁获得了这些数据并将其放置在服务器上,Diachenko并没有直接的线索。只有一个全黑的登陆页面,上面有一只白鹰的标志和一条波斯语的信息。上面写着 “欢迎来到狩猎系统”。 Diachenko表示,他通知了伊朗的一个网络安全机构,不久之后,服务器就被关闭了。但在它消失之前,其他网络间谍开始了自己的调查。最终,他们找到了一个黑客组织,这个组织有被称为“ Charming Kitten”(迷人小猫),并得出了一个惊人的结论。Diachenko偶然发现了一个伊朗政府的间谍行动。 “10多年来,我一直在监控伊朗的网络攻击和监视,我从未见过这样的事情,”伊朗网络安全和数字权利研究人员Amir Rashidi说。他在纽约工作,是一名伊朗网络安全和数字权利研究人员。”他们可以用这个来对付我的亲戚、朋友、家人。” 彭博社审查了这一队数据,其中部分数据包含了与服务器上存储的账户相关的用户名、电话号码、用户简历以及唯一的代码–或 “哈希”。目前还不清楚这些数据是否主要来自于Telegram非官方应用用户,2018年伊朗当局封锁了Telegram。一些使用与Telegram相同源码的非官方应用,此前曾与伊朗政府有关联。 Diachenko说,无论是哪种方式,这些数据都可能被用来克隆人们的账户,并对私人通信进行间谍活动,识别匿名使用Telegram的人,或者发送针对特定群体的宣传或虚假信息。 Rashidi表示,伊朗此前曾有选择地针对特定人群的账号,并对其进行黑客攻击。但 “狩猎系统 “表明伊朗当局正在使用新的、更激进的技术来收集和分析关于其公民的巨量信息。他表示:”这是我第一次看到他们试图大规模分析数据的证据。” Telegram在一份电子邮件声明中说,该公司认为这些数据来自于伊朗使用的非官方版本的应用程序,它说这些数据可能从人们的手机中隐蔽地收获了关于Telegram用户的信息。”我们能够研究的数据样本清楚地表明,这些数据是通过第三方应用窃取用户的数据来收集的,”Telegram发言人Markus Ra表示。 “如果你的朋友中有人使用了你的号码,那么你的号码和用户名就可能会出现在像 “狩猎系统 “这样的数据库中。”Ra说,”即使你自己没有使用过那个恶意的APP,也会有可能出现在数据库中。” 根据对服务器上的账户和Telegram上的账户进行对比审查,数据库中至少有部分用户账户与官方Telegram应用的活跃用户有关。时间戳显示,部分Telegram用户记录的访问时间最早是在2020年3月。 伊朗网络警察部门没有回应置评请求。伊朗通信和信息技术部副部长Amir Nazemi表示,他向伊朗总检察长办公室提交了关于数据泄露事件的投诉。他拒绝就网络警察或其他政府机构是否参与 “猎杀系统 “发表评论。 Diachenko发现该服务器的消息被一家计算机行业刊物报道。几名伊朗安全研究人员继续深入研究这些数据。其中在美国生活和工作的Mohammad Jorjandi,说,他发现存储用户数据的服务器被一个叫 Manouchehr Hashemloo的人注册到了德黑兰西北部的一个办公室。 Jorjandi利用彭博新闻社看到的在线记录,确定Hashemloo使用的Gmail地址与一名与伊朗政府有联系的知名黑客使用的Gmail地址相同。这名黑客的名字叫ArYaIeIrAN,据称与伊朗政府支持的黑客组织Charming Kitten有关联,该组织有针对伊朗持不同政见者、学者、记者和人权活动家的历史。 Jorjandi因此断定,建立 “狩猎系统 “服务器的人很可能是为伊朗政府工作。 ClearSky网络安全公司此前也曾发现了与Hashemloo相关的化名ArYaIeIeIrAN所实施的几次黑客行动,2017年的一份报告引用了该黑客的Gmail地址,并将其与Charming Kitten所实施的行动联系在一起。 Hashemloo没有回应电子邮件的置评请求。另一名伊朗安全研究人员表示,Hashemloo是 “安全领域的知名人士”。   (稿源:cnBeta,封面源自网络。)

伊朗 19 岁黑客攻破美一退休牙医网站以示对美国的不满

据外媒报道,Phil Openshaw是美国加州一名退休的牙医,他已经好几个月没上过自己的网站了,所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反,该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片,并且上面还写着“打倒美国”的标语。 当他告知这一情况之后,Openshwa表示:“我真的不知道如何应对。我将会去看看。” 攻击Openshaw网站的黑客自称Behzad先生,并透露自己是一名19岁的爱国主义者。“我不为政府工作。我为我的祖国伊朗工作。”另外他还称自己是在工作编程中学到如何攻破网站的。“我们想要知道,如果他们伤害了我们的人民或我们的国家我们是不会倒下的。”   (稿源:cnBeta,封面源自网络。)

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接