HackerNews 编译，转载请注明出处： 美以联军对德黑兰发动联合先发制人空袭之际，一场复杂的网络心理战同步展开。 据《连线中东》报道，数百万伊朗民众与军人不仅被爆炸声惊醒，还收到来自遭入侵移动应用的未授权推送通知。 该事件标志着国家级网络战进入新阶段，将数字入侵与实体军事行动相结合。 军事打击期间遭劫持的祈祷应用 此次数字攻势的主要载体是 BadeSaba Calendar，一款在谷歌应用商店下载量超 500 万的热门祈祷时间应用。 《连线中东》指出，周六上午实体打击开始后不久，该应用通知系统即被劫持，用于投放心理战信息。 从当地时间上午 9:52 开始，用户收到大量标题为 “援助即将到来” 的推送通知。 提供给《连线中东》的截图显示，这些信息明确敦促伊朗军人放弃阵地、放下武器以换取赦免。 推送通知均以 “援助即将到来” 为标题，敦促伊朗军队投降（来源：Wired） 上午 10:02 的后续通知警告称 “镇压势力将为其残忍无情的行为付出代价”；10:14 的信息则呼吁军队加入 “解放运动”，建立自由伊朗。 尽管确切恶意软件或利用技术尚未确认，《连线中东》援引网络安全专家分析称，这是一场高度协同的国家级行动，而非普通网络犯罪攻击。 BeyondTrust 首席安全顾问 Morey Haber 向该媒体表示，如此规模的攻击需要提前周密策划。 攻击者很可能早已入侵应用后端基础设施，将通知设为触发式载荷，与实体空袭精准同步。 目前攻击归属尚未确认，尚无黑客组织或国家实体官方宣称对此次入侵负责。 Miaan 集团数字权利研究员 Narges Keshavarznia 向《连线中东》表示，目前判断行动由以色列情报机构还是伊朗反政府黑客组织实施仍为时过早。 全国范围严重网络中断 应用遭入侵的同时，伊朗发生严重网络中断。《连线中东》记录显示，这是该国在国家危机期间常用的防御或管控手段。 报告援引网络监测工具 NetBlocks 数据称，伊朗全国网络流量暴跌至正常水平的 4%。   伊朗本土云服务商 ArvanCloud 数据显示，主要数据中心与国内节点均失去国际连通性。 此外，《连线中东》报道称，包括 IRNA、ISNA 在内的伊朗官方通讯社疑似遭协同网络攻击而下线。 数字权利倡导者警告称，通信中断严重影响移动数据、宽带与 VPN 使用，导致信息隔绝，民众无法记录事件或寻求帮助。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款新型恶意攻击活动正对伊朗境内人员传播恶意软件，目标群体疑似包括记录该国近期抗议浪潮中人权侵害事件的非政府组织及相关个人。 该攻击活动由法国网络安全公司 HarfangLab 的威胁研究团队发现，最早监测记录始于 2026 年 1 月初。该团队于1月23日获取恶意样本，并于1月29日发布了详细分析报告。 研究人员将此次活动命名为“RedKitten”。它通过散播伪造的、极具煽动性的“诱饵文件”，目标直指搜寻失踪人员信息或与政治异见相关的组织及个人。一旦用户中计，便会下载一个名为 SloppyMIO 的恶意软件植入体。该程序可实现数据采集与窃取、执行任意命令，还能通过计划任务持久化部署更多恶意软件。 该恶意软件利用GitHub和Google Drive进行配置更新与模块化攻击载荷的获取，并通过Telegram进行命令与控制（C2）通信。 HarfangLab研究人员评估认为，该恶意软件是借助AI工具开发的，代码中存在多处大语言模型（LLM）辅助生成的痕迹。虽然目前无法将其明确归因于某个已知的威胁行为者，但发现攻击中使用的技术手段与伊朗国家背景攻击者已知手法吻合，且存在相关语言特征线索。研究人员明确表示，有充分依据判定该攻击活动源于与伊朗政府安全利益一致的威胁行为者。 伪造法医档案，诱捕异见者与研究者 RedKitten攻击活动以波斯语命名为 “德黑兰法医医疗文件” 的加密 7z 压缩包为起点，包内包含 5 个恶意 Excel 表格。这些文件声称记录了 2025 年 12 月至 2026 年 1 月期间，德黑兰地区 200 名疑似抗议者的死亡名单，该时段正是伊朗境内反政权动荡频发期。 这些Excel文档被精心命名以伪装成官方记录（例如“最终名单_受害者_1404年12月_德黑兰_第一部分.xlsm”），内含 5 个工作表，均为捏造但极具冲击力的虚假数据。其中一个工作表列明遇难者个人信息及涉事安全部队，包括伊朗伊斯兰革命卫队（IRGC）、巴斯基民兵组织、情报部等；另一个工作表包含含毒理学检测结果在内的详细验尸报告；第三个工作表记录遗体移交家属的相关信息，最后一个 “帮助” 工作表诱导用户启用宏，进而触发恶意软件执行。 研究人员指出，这些诱饵旨在利用目标人群的情感创伤，精准打击那些活动家、记者或寻找失踪亲人的家庭。但研究人员指出，文件数据存在大量矛盾之处，例如年龄与出生日期不匹配、涉事医生工作量不符合常理等，足以证明数据系伪造。文件中包含每起死亡事件对应的具体涉事安全机构等细节，其设计目的是引发冲击感与紧迫感，研究人员称该手法与伊朗过往网络攻击操作一致。 SloppyMIO恶意程序：数据窃取与间谍监控能力 当用户打开恶意Excel文件并按照提示“启用内容”后，一个隐藏在文档中的VBA宏便被激活。该宏会暗中释放更具破坏性的载荷 —— 一款由 C# 编写的恶意软件，即 HarfangLab 命名的 SloppyMIO。SloppyMIO 的命名源于其杂乱的设计架构：每次感染都会生成略有差异的代码，大幅提升安全工具的识别与拦截难度。 该恶意软件激活后，会通过多种隐蔽手段规避检测。其会将 AppVStreamingUX.exe 等合法 Windows 程序复制到隐藏文件夹，再强制该程序加载恶意代码，伪装成系统正常组件运行。为实现持久化运行，该恶意软件会创建计划任务，确保电脑每次启动时自动加载自身。代代码中还遗留多处线索，证明其至少部分由 AI 生成，例如命名怪异的变量及类似自动生成的注释内容。 与连接传统可疑C2服务器的恶意软件不同，SloppyMIO使用Telegram接收指令。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。其首先会向黑客控制的 Telegram 机器人发送 “信标” 消息，告知受感染设备已上线。为进一步规避检测，黑客采用隐写术，将恶意软件配置信息隐藏在表情包、图库图片等看似正常的图像中 —— 即把数据藏匿于图片难以察觉的细微信息里。 安装完成后，SloppyMIO 可执行多项间谍与破坏任务，具体包括： 收集并外泄文件。 在受害者计算机上执行任意命令。 下载额外的恶意软件。 安装用于长期控制的后门。 攻击者可通过Telegram远程下令，指挥恶意软件搜索特定文档、运行程序，甚至向其他设备扩散。某部分版本的恶意软件还会通过计划任务实现持久化：即便被清除，也会自动重新安装。 受害者分析与攻击归因 这些恶意样本由HarfangLab位于荷兰的研究人员上传至在线扫描平台。研究人员表示，无法确认样本上传者是攻击目标对象还是相关研究人员。 报告写道：“我们认为，此次活动的目标可能指向那些参与记录近期人权侵犯行为、以及揭露伊朗政权对抗议者施加骇人暴力的非政府组织与个人。” 尽管未做最终归因，但研究人员指出，RedKitten的感染链与伊朗、且与伊斯兰革命卫队（IRGC）相关的威胁组织“Yellow Liderc”（又名Imperial Kitten，编号TA456）的战术、技术和程序存在重叠。“值得注意的是，该组织过去就曾利用恶意Excel文档，通过‘AppDomain管理器注入’技术投递.NET恶意软件，且同样劫持了AppVStreamingUX.exe这一合法Windows程序。” 此外，研究人员还从RedKitten攻击基础设施中发现多项线索，表明威胁行为者与已知伊朗关联威胁组织存在关联，且使用波斯语。例如，自 2022 年起，多个伊朗威胁集群的攻击活动中，就曾出现以 GitHub 作为死信解析器（DDR）、以 Telegram 作为命令与控制（C2）信道的手法。研究人员甚至提及，攻击者在载荷中“戏谑地”使用了小猫图像，这或许是在调侃安全行业常用“Kitten”（小猫）来命名伊朗关联黑客组织的惯例。 研究人员总结道：“由于伊朗关联威胁行为者之间存在大量手法重合，且大语言模型在攻击活动中的应用日益广泛，对其进行精准区分的难度正不断提升。赤砂风暴（Crimson Sandstorm）等组织及伊朗整体高级持续性威胁（APT）生态中，均已出现此类趋势。” 消息来源:infosecurity-magazine： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 反政府活动分子短暂控制了伊朗的”巴德尔”卫星，劫持国家电视台播放了流亡的伊朗王储礼萨·巴列维呼吁民众抗议伊朗伊斯兰共和国的信息。巴列维的媒体团队也分享了此次黑客攻击的录像片段。 据伊朗国际电视台英语频道在X上发布的消息：”周日，通过巴德尔卫星播送的数个伊朗国家电视频道遭黑客攻击，播放了抗议画面以及流亡的伊朗王储礼萨·巴列维呼吁民众加入示威、并要求军事力量站在抗议者一边的讲话。” 根据以色列公共广播公司KAN新闻的报道，被劫持的广播于晚上9点30分左右播出，持续了大约10分钟。被劫持的广播敦促抗议者继续行动，展示了世界各地的声援抗议活动，并包含了国际领导人的支持信息。 #突发新闻 周日，通过巴德尔卫星播送的多个伊朗国家电视频道遭黑客攻击，播放了抗议画面以及流亡的伊朗王储礼萨·巴列维呼吁民众加入示威、并要求军事力量站在抗议者一边的讲话。 伊朗的… pic.twitter.com/zpQLC6krd2 — 伊朗国际英语频道 (@IranIntl_En) 2026年1月18日 广播中还出现了巴列维呼吁进行更多抗议，并要求伊朗军队和安全部队支持示威者的画面。 伊朗伊斯兰共和国电视台网络被黑客攻击的另一个视频，画面显示了伊朗国家革命以及礼萨·巴列维王子的信息。pic.twitter.com/wHvvrynalp — 礼萨·巴列维通讯 (@PahlaviComms) 2026年1月18日 “视频中，广播似乎包含波斯语信息，鼓励抗议者继续他们的活动，全球声援抗议活动的媒体画面，以及国际领导人的支持信息。”《耶路撒冷邮报》报道称。 梅纳托电视台记者发送此视频，称伊朗伊斯兰共和国广播电视台频道被黑客攻击。pic.twitter.com/ZkeHBmtaI4 — 梅纳托新闻编辑室 (@ManotoNews) 2026年1月18日 2026年1月18日，独立且无党派的全球互联网监测机构NetBlocks报告称，在谷歌部分服务和通讯服务经过短暂且严格限制的恢复后，伊朗的互联网流量再次下降。在此期间，少数用户分享了当地危机的更新情况。更新：截至互联网中断第240小时，在#伊朗 经过短暂、严格过滤地恢复了部分谷歌和通讯服务后，流量水平已下降。在此期间，一些伊朗人得以更新并详述了当地危机的严重程度。pic.twitter.com/ihbjWOUrzD — NetBlocks (@netblocks) 2026年1月18日     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 被称为MuddyWater的伊朗黑客组织近日被指发动了一场针对中东地区外交、海事、金融及电信实体的鱼叉式钓鱼攻击，其使用的是一款基于Rust语言、代号为RustyWater的植入程序。 CloudSEK的研究员Prajwal Awasthi在本周发布的报告中表示：“此次攻击活动利用图标伪装和恶意Word文档，投放基于Rust语言开发的植入程序。该植入程序具备异步命令与控制（C2）通信、反分析、通过注册表实现持久化以及模块化扩展等能力。” 这一最新进展表明MuddyWater的攻击手法持续演变。该组织已逐步但稳步减少对合法远程访问软件作为入侵后工具的依赖，转而采用多样化的定制恶意软件库，包括Phoenix、UDPGangster、BugSleep和MuddyViper等工具。 该黑客组织被评估隶属于伊朗情报与安全部，其活动至少可追溯至2017年。 传播RustyWater的攻击链较为直接：伪装成网络安全指南的鱼叉式钓鱼邮件附带一个Microsoft Word文档。当受害者打开文档时，会收到“启用内容”的提示，一旦执行，便会激活一个负责部署Rust植入程序的恶意VBA宏。 RustyWater会收集受害者计算机信息、检测已安装的安全软件、通过Windows注册表项建立持久化，并与命令与控制（C2）服务器（”nomercys.it[.]com”）建立联系，以执行文件操作和命令。 值得注意的是，Seqrite Labs在上月底曾报告RUSTRIC被用于针对以色列的信息技术（IT）公司、管理服务提供商（MSP）、人力资源及软件开发公司的攻击活动中。这家网络安全公司将该活动追踪命名为UNG0801和Operation IconCat。 CloudSEK指出：“从历史手法看，MuddyWater一直依赖PowerShell和VBS加载程序进行初始入侵和后续操作。此次引入基于Rust语言的植入程序，标志着其工具链向更结构化、模块化和低噪声的远程访问木马能力显著演进。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁猎手发现了一个被称为Infy的伊朗威胁行为者（又名Prince of Persia）的新活动，这距离该黑客组织被观察到针对瑞典、荷兰和土耳其的受害者已近五年。 “Prince of Persia的活动规模比我们最初预期的更为重大，”SafeBreach的安全研究副总裁托默·巴尔在与The Hacker News分享的技术分析中表示。”这个威胁组织仍然活跃、相关且危险。” 根据Palo Alto Networks Unit 42在2016年5月发布的一份报告，Infy是现存最古老的APT组织之一，其早期活动证据可追溯到2004年12月。该报告由巴尔与研究员西蒙·科南特共同撰写。 该组织也一直保持隐蔽，不像Charming Kitten、MuddyWater和OilRig等其他伊朗组织那样受到较多关注。该组织发起的攻击主要利用了两种恶意软件：一种名为Foudre的下载器和受害者剖析器，用于投递被称为Tonnerre的第二阶段植入程序，以从高价值机器中窃取数据。据评估，Foudre是通过钓鱼邮件传播的。 SafeBreach的最新发现揭露了一场针对伊朗、伊拉克、土耳其、印度、加拿大以及欧洲受害者的隐蔽活动，活动中使用了更新版本的Foudre和Tonnerre。Tonnerre的最新版本于2025年9月被检测到。 攻击链也发生了变化，从使用包含宏的Microsoft Excel文件，转向在此类文档中嵌入可执行文件来安装Foudre。或许该威胁行为者最引人注目的手法是使用域名生成算法，以使其命令与控制基础设施更具韧性。 此外，已知Foudre和Tonnerre的组件会通过下载一个RSA签名文件来验证C2域名是否真实，恶意软件随后使用公钥解密该文件，并与本地存储的验证文件进行比较。 SafeBreach对C2基础设施的分析还发现了一个用于C2验证的名为”key”的目录，以及其他用于存储通信日志和窃取文件的文件夹。 “每天，Foudre都会下载一个由威胁行为者用RSA私钥加密的专用签名文件，然后使用内嵌公钥进行RSA验证，以确认该域名是经批准的域名，”巴尔说道。”请求格式为：’https://<域名>/key/<域名><yy><年份中的第几天>.sig’。” C2服务器中还存在一个”download”目录，其当前用途未知，推测可能用于下载并升级到新版本。 另一方面，Tonnerre的最新版本包含一个通过C2服务器联系Telegram群组的机制。该群组有两名成员：一个很可能用于发出命令和收集数据的Telegram机器人”@ttestro1bot”，以及一个用户名为”@ehsan8999100″的用户。 虽然使用即时通讯应用进行C2通信并不罕见，但值得注意的是，关于Telegram群组的信息存储在C2服务器中名为”t”的目录内一个名为”tga.adr”的文件中。需要指出的是，”tga.adr”文件的下载只能为特定的受害者GUID列表触发。 这家网络安全公司还发现了2017年至2020年间在Foudre活动中使用的其他较旧变种： 伪装成Amaq新闻查找器以下载和执行恶意软件的Foudre版本 一种名为MaxPinner的木马新版本，由Foudre第24版DLL下载，用于窥探Telegram内容 一种名为Deep Freeze的恶意软件变体，类似于Amaq新闻查找器，用于感染受害者并投递Foudre 一种名为Rugissement的未知恶意软件 “尽管看似在2022年销声匿迹，但Prince of Persia威胁行为者却恰恰相反，”SafeBreach表示。”我们针对这个多产且隐蔽的组织的持续研究活动，突显了关于他们过去三年活动、C2服务器以及已识别恶意软件变种的关键细节。” 此次披露正值DomainTools对Charming Kitten泄露信息的持续分析描绘出该黑客组织的形象：其运作更像是一个政府部门，同时以”文书般的精准度开展间谍行动”。该威胁行为者还被揭露是Moses Staff身份的幕后操纵者。 “运行德黑兰长期凭证钓鱼行动的同一台行政机器APT 35，也负责运行支持Moses Staff勒索软件活动的后勤工作，”该公司表示。 “所谓的黑客活动分子和政府网络部门不仅共享工具和目标，还使用同一个应付账款系统。宣传部门和间谍部门是单一工作流程的两个产物：同一内部工单制度下的不同’项目’。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： FortiGuard 实验室的报告显示，伊朗黑客组织 MuddyWater 近期启用了一款名为 UDPGangster 的新型后门程序，该后门通过用户数据报协议（UDP）实现命令与控制（C2）通信，且已针对土耳其、以色列和阿塞拜疆三国用户发起网络间谍活动。 安全研究员卡拉・林表示：“这款恶意软件可实现对受感染系统的远程控制，支持攻击者执行系统命令、窃取文件、投放额外恶意载荷，而所有通信均通过 UDP 信道完成，以此规避传统网络防御手段的检测。” 此次攻击的完整链路以鱼叉式钓鱼为初始入口：攻击者向目标发送携带恶意 Microsoft Word 文档的钓鱼邮件，一旦受害者启用文档宏，便会触发恶意载荷执行。部分钓鱼邮件还伪装成北塞浦路斯土耳其共和国外交部的官方信函，谎称邀请收件人参加一场名为 “总统选举及结果” 的线上研讨会。 钓鱼攻击细节 钓鱼邮件中通常附带一个压缩包（“seminer.zip”）和一份 Word 文档（“seminer.doc”），压缩包内也包含相同的恶意 Word 文件。用户打开文件后会被诱导启用宏，进而触发内嵌 VBA 代码的隐秘执行。 该投放器文档中的 VBA 脚本还设置了伪装机制以掩盖恶意行为：它会展示一张希伯来语的诱饵图片，内容为以色列电信运营商 Bezeq 发布的 “2025 年 11 月第一周以色列多城网络断连通知”，以此迷惑受害者。 卡拉・林解释道：“该宏会通过 Document_Open () 事件实现自动运行，先解码隐藏表单域（UserForm1.bodf90.Text）中的 Base64 编码数据，并将解码内容写入路径 C:\Users\Public\ui.txt，随后调用 Windows API 接口 CreateProcessA 执行该文件，最终加载 UDPGangster 后门。” UDPGangster 后门核心特性 UDPGangster 通过修改 Windows 注册表实现持久化驻留，同时内置多重反分析检测机制以抵御安全人员的逆向分析，具体包括： 检测自身进程是否被调试 分析 CPU 配置以识别沙箱或虚拟机环境 校验系统内存是否低于 2048MB 获取网卡信息，验证 MAC 地址前缀是否匹配已知虚拟机厂商列表 确认计算机是否加入域环境，而非处于默认 Windows 工作组 排查运行进程中是否存在 VBoxService.exe、VBoxTray.exe、vmware.exe、vmtoolsd.exe 等虚拟化工具 扫描注册表，检索 VBox、VMBox、QEMU、VMWARE 等虚拟化厂商特征标识 查找已知沙箱或调试工具进程 判断自身是否运行于分析环境 只有通过全部检测后，UDPGangster 才会开始收集系统信息，并通过 UDP 1269 端口连接外部 C2 服务器（157.20.182 [.] 75），执行数据窃取、cmd.exe 命令调用、文件传输、C2 服务器配置更新及额外恶意载荷投放等操作。 卡拉・林提醒：“UDPGangster 依赖宏投放器实现初始入侵，且集成了大量反分析逻辑来规避检测，用户及企业需警惕来路不明的文档，尤其是要求启用宏的文件。” 值得注意的是，就在此次攻击披露数天前，ESET 曾发布报告称，该组织还针对以色列的学术界、工程领域、地方政府、制造业、科技、交通及公用事业等行业发起攻击，并投放了另一款名为 MuddyViper 的后门程序。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员称，与伊朗有关联的威胁行为体MuddyWater利用伪装成经典游戏“贪吃蛇”的间谍软件，针对埃及和以色列的关键基础设施发动攻击。 ESET 研究人员透露，该行动主要在2024年9月至2025年3月期间活跃，主要目标涵盖以色列科技、工程、地方政府、教育及制造业领域的机构。 该攻击活动通过鱼叉式钓鱼邮件展开，邮件通常附带 PDF 附件，其中包含指向托管在OneHub和Mega等免费文件共享平台上的间谍软件安装程序的链接。 ESET研究人员表示，一个名为“MuddyViper”的新后门程序，使攻击者能够窃取Windows登录凭证和浏览器数据、收集系统信息、传输文件以及执行文件和Shell命令。 MuddyViper使用的自定义加载器（被称为”Fooder”）使其恶意软件更难以被检测，因为它模拟了贪吃蛇游戏的运行方式。 ESET 指出，MuddyViper的出现表明，与伊朗情报与国家安全部有关的黑客组织在技术上正在不断演进，其规避检测和维持持久存在的能力已变得更强。 Fooder加载器能将MuddyViper反射加载到内存中并执行。ESET称，该加载器还依赖于一个自定义的延迟函数，该函数结合了贪吃蛇游戏的“核心逻辑”和“Sleep” API调用。 这些功能旨在延迟执行，以试图在自动化分析系统面前隐藏恶意行为。总体而言，这次活动显示出技术演进的迹象——更高的精准度、更具战略性的目标选择以及更先进的工具集。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与伊朗有关的威胁行为体在一次未遂导弹袭击前，曾对船只自动识别系统（AIS）数据进行测绘。这表明，与德黑兰结盟的组织正在利用网络行动来支持并增强现实世界的实体攻击。 这项研究证明，网络战与传统实体作战之间的界限正迅速变得模糊。 亚马逊的威胁情报团队指出，国家背景的行为体正越来越多地利用网络行动来支持和增强实体攻击，他们将此趋势称为“网络赋能实体攻击”。 亚马逊发布的报告称：”我们正目睹国家行为体在战争方式上的根本性转变。这些不仅仅是恰好造成物理损坏的网络攻击；它们是经过协调的行动，其中数字操作被专门设计用来支持实体军事目标。” 在亚马逊专家描述的第一个案例中，与伊朗有关的APT组织”Imperial Kitten” 利用网络入侵来支持现实世界的海上攻击。2021年12月，他们入侵了一个船舶AIS平台；到2022年8月，他们扩大了活动范围，甚至访问了船载闭路电视系统以获取实时情报。2024年1月27日，他们搜索了一艘特定船只的AIS数据，标志着其转向了针对性跟踪。几天后的2024年2月1日，胡塞武装向该船只发动了导弹袭击。该案例显示了网络侦察如何能直接促成对海上目标的精确实体攻击。 研究人员描述的第二个案例涉及另一个伊朗关联的APT组织”MuddyWater”，其参与了支持实体攻击的网络行动。2025年5月13日，该组织为其活动架设了服务器。到6月17日，他们访问了另一台被入侵的服务器，该服务器正从耶路撒冷流式传输实时闭路电视画面，从而获得了实时情报。6月23日，伊朗向该市发动了导弹袭击，而以色列官员确认攻击者利用了被黑客入侵的摄像头来调整打击目标。该案例凸显了被入侵的监控系统如何能直接支持实体攻击。 报告进一步指出：”这个时间点并非巧合。正如《The Record》所报道，以色列官员曾敦促公民断开联网安全摄像头的连接，并警告伊朗正在利用它们来’收集实时情报并调整导弹目标’。” 亚马逊的研究表明，伊朗关联组织正在使用分层的网络基础设施来支持实体攻击。他们通过匿名VPN隐藏活动，使用攻击者控制的服务器进行持久性操作，并渗透到企业系统（如闭路电视网络和海事平台）以获取高价值情报。来自被入侵传感器的实时数据流，使攻击者能够在军事打击过程中调整目标。亚马逊引入了一个新术语——“网络赋能实体攻击”——来描述那些直接协助和改进现实世界军事攻击的网络行动，因为现有术语无法完全涵盖这一现象。 报告总结道：”我们相信，网络赋能实体攻击将在多个对手中变得越来越普遍。国家行为体正在认识到将数字侦察与实体攻击相结合所带来的’力量倍增器’效应。这一趋势代表了战争形式的根本性演变，网络行动与实体作战之间的传统界限正在瓦解。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似来自伊朗、以间谍活动为目的的威胁行为者被发现部署 TWOSTROKE 和 DEEPROOT 等后门程序，持续针对中东地区的航空航天、航空和国防行业发动攻击。 谷歌旗下的曼迪昂特（Mandiant）公司将该活动归因于一个代号为 UNC1549（又称 “雨云狮身人面像” 或 “狡猾蜗牛”）的威胁集群，该集群于去年年初首次被这家威胁情报公司记录在案。 研究人员穆罕默德・埃尔 – 班纳、丹尼尔・李、迈克・斯托克尔和约什・戈达德表示：“2023 年末至 2025 年期间，UNC1549 采用了复杂的初始访问向量，包括滥用第三方合作关系获取入口（从服务提供商转向其客户）、从第三方虚拟桌面基础设施（VDI）突破，以及针对性极强、与角色相关的钓鱼攻击。” 此次披露距瑞士网络安全公司 PRODAFT 将该黑客组织与针对欧洲电信公司的攻击活动相关联约两个月。当时，该组织通过领英（LinkedIn）发起以招聘为主题的社会工程学攻击，成功入侵了 11 家机构。 事件响应与数字取证（DFIR）托管服务 谷歌称，攻击链结合了旨在窃取凭证或分发恶意软件的钓鱼活动，以及利用与第三方供应商和合作伙伴的信任关系。第二种方法在攻击国防承包商时展现出极高的策略性。 尽管这些组织通常拥有强大的防御体系，但其第三方合作伙伴的防御能力可能较弱 —— 这一供应链中的薄弱环节被 UNC1549 加以利用：他们先获取关联实体的访问权限，再渗透目标核心系统。 攻击者的常用手段包括滥用从这些外部实体窃取的、与思杰（Citrix）、威睿（VMWare）和 Azure 虚拟桌面与应用程序（VDA）等服务相关的凭证，建立初始立足点，随后突破虚拟化会话限制，获取底层主机系统访问权限，并在目标网络内开展横向移动活动。 另一种初始访问途径是发送声称与就业机会相关的鱼叉式钓鱼邮件，诱使收件人点击虚假链接并在其设备上下载恶意软件。观察发现，UNC1549 还在攻击中针对 IT 人员和管理员，以获取具有高权限的凭证，从而获得对网络的深度访问权。 攻击者一旦入侵成功，后续利用活动将包括侦察、凭证窃取、横向移动、防御规避和信息窃取，系统性收集网络 / IT 文档、知识产权和电子邮件。 该威胁行为者在攻击中使用的部分定制工具如下： MINIBIKE（又称 SlugResin）：已知的 C++ 后门程序，可收集系统信息、获取额外有效载荷以执行侦察、记录键盘输入和剪贴板内容、窃取微软 Outlook 凭证、收集谷歌浏览器（Google Chrome）、勇敢浏览器（Brave）和微软 Edge 浏览器的浏览数据，并截取屏幕截图。 TWOSTROKE：C++ 后门程序，支持系统信息收集、动态链接库（DLL）加载、文件操作和持久化驻留。 DEEPROOT：基于 Go 语言的 Linux 后门程序，支持执行 shell 命令、枚举系统信息和文件操作。 LIGHTRAIL：定制隧道工具，疑似基于开源 Socks4a 代理工具 Lastenzug 开发，利用 Azure 云基础设施进行通信。 GHOSTLINE：基于 Go 语言的 Windows 隧道工具，通过硬编码域名进行通信。 POLLBLEND：C++ Windows 隧道工具，利用硬编码的命令与控制（C2）服务器注册自身并下载隧道配置。 DCSYNCER.SLICK：基于 DCSyncer 开发的 Windows 工具，用于执行 DCSync 攻击以提升权限。 CRASHPAD：C++ Windows 工具，用于提取浏览器中保存的凭证。 SIGHTGRAB：C 语言编写的 Windows 工具，选择性部署以定期捕获屏幕截图并保存至磁盘。 TRUSTTRAP：恶意软件，通过弹出 Windows 提示框诱骗用户输入微软账户凭证。 网络安全配置（CIS）构建工具包 攻击者还使用了多款公开可用的程序，包括：用于查询活动目录（Active Directory）的 AD Explorer；用于建立远程连接、执行侦察、凭证窃取和恶意软件部署的远程控制工具（Atelier Web Remote Commander，AWRC）；以及用于远程控制的 SCCMVNC。此外，该威胁行为者还通过删除远程桌面协议（RDP）连接历史注册表项来阻碍调查。 曼迪昂特公司表示：“UNC1549 的攻击活动特点在于其专注于预判调查行动，并确保在被发现后仍能长期持久驻留。他们植入的后门程序会静默 beacon 数月，仅在受害者尝试清除后才激活以重新获取访问权限。” “他们利用大量反向 SSH 隧道（可减少取证证据）和策略性模仿受害者所在行业的域名，维持隐蔽性和命令与控制（C2）通信。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列国家数字机构（INDA）近日披露，伊朗国家支持的威胁组织APT42正在针对伊斯兰革命卫队（IRGC）关注的重点目标展开新一轮间谍活动。该行动被命名为”SpearSpecter”，自2025年9月初持续活跃至今。 研究发现，攻击者系统性地瞄准高级国防和政府官员，采用高度个性化的社交工程手段：通过邀请目标参加知名会议或安排重要会晤建立信任关系。值得注意的是，攻击范围甚至延伸至目标人物的家庭成员，以此扩大攻击面并对主要目标施加更大压力。 APT42组织（亦被称为APT35、Charming Kitten等）自2022年底被公开披露以来，一直以实施极具说服力的长期社交工程攻击著称。攻击者会伪装成目标熟识的联系人，经过数日甚至数周的信任培养后，才发送恶意载荷或诱导点击陷阱链接。 INDA研究人员指出，SpearSpecter campaign展现出高度灵活性——攻击者会根据目标价值和行动目标调整策略。部分攻击将受害者重定向至仿冒会议页面以窃取凭证；若旨在获取长期访问权限，则会部署近年来反复出现的PowerShell后门TAMECAT。 具体攻击链显示，攻击者冒充可信的WhatsApp联系人，发送伪装成会议所需文件的恶意链接。点击后通过”search-ms:”协议处理程序，最终投递托管于WebDAV的Windows快捷方式文件（伪装成PDF）。该LNK文件会连接Cloudflare Workers子域名获取批处理脚本，进而加载具备模块化功能的TAMECAT后门。 这款PowerShell框架特别采用HTTPS、Discord和Telegram三重通信信道进行命令控制，确保即使某个通道被阻断仍能维持访问权限。其功能包括：实施系统侦察、窃取特定类型文件、盗取浏览器数据、收集Outlook邮箱内容，并以15秒间隔持续截屏。所有窃取数据均通过HTTPS或FTP外传。 TAMECAT还采用多种隐身技术：加密遥测数据与控制载荷、混淆源代码、利用合法系统工具隐藏恶意行为，且主要内存运行以减少磁盘痕迹。 INDA总结称：”SpearSpecter campaign的基础设施融合了敏捷性、隐蔽性和操作安全性，展现出针对高价值目标实施长期间谍活动的精密能力。攻击者通过混合使用合法云服务与自控资源，实现了无缝初始访问、持久命令控制和隐蔽数据外泄。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文