HackerNews 编译，转载请注明出处： 被称为 “浑水”（MuddyWater）的伊朗国家背景组织，被指发起了一场新的网络活动。该组织利用一个被入侵的电子邮件账户，向中东和北非（MENA）地区的多家机构分发名为 “凤凰”（Phoenix）的后门程序，其中包括 100 多个政府实体。 新加坡网络安全公司 Group-IB 在今日发布的技术报告中表示，这场活动的最终目标是渗透高价值目标，为情报收集提供便利。 该活动超四分之三的目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。 网络安全研究人员马哈茂德・祖赫迪（Mahmoud Zohdy）和曼苏尔・阿尔穆德（Mansour Alhmoud）指出：“‘浑水’组织通过 NordVPN—— 一款被该威胁行为者滥用的合法服务 —— 访问了被入侵的邮箱，并利用该邮箱发送看似真实通信内容的钓鱼邮件。” “通过利用这类通信所附带的信任度和权威性，该活动大幅提高了欺骗收件人打开恶意附件的概率。” 攻击链的核心流程是，威胁行为者分发植入恶意程序的微软 Word 文档。收件人打开文档后，会被提示启用宏功能才能查看内容。毫无防备的用户一旦启用该功能，文档就会执行恶意的 Visual Basic for Application（VBA，可视化 Basic 应用程序）代码，最终部署 “凤凰” 4.0 版本后门程序。 该后门程序由一个名为 “FakeUpdate”（虚假更新）的加载器启动，而这个加载器由 VBA 投放程序解码后写入磁盘。加载器中包含经过高级加密标准（AES）加密的 “凤凰” 有效载荷。 “浑水” 组织还有多个别名，包括 Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（前称 Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros 和 Yellow Nix。经评估，该组织与伊朗情报和安全部（MOIS）有关联，已知至少自 2017 年起便开始活跃。 Group-IB 上月首次记录到该威胁行为者使用 “凤凰” 后门程序，并将其描述为 “BugSleep” 的轻量版本。“BugSleep” 是一款基于 Python 的植入程序，此前已被证实与 “浑水” 组织有关联。目前已在野外检测到 “凤凰” 的两个不同变种 ——3.0 版本和 4.0 版本。 这家网络安全厂商表示，已发现攻击者的命令与控制（C2）服务器（地址为 “159.198.36 [.] 115”）还托管着远程监控与管理（RMM）工具，以及一款定制化网页浏览器凭据窃取工具。该窃取工具针对 Brave、谷歌 Chrome、微软 Edge 和欧朋（Opera）浏览器，这表明这些工具可能被用于此次行动。值得注意的是，多年来 “浑水” 组织一直有通过钓鱼活动分发远程访问软件的记录。 研究人员称：“通过部署‘凤凰’4.0 版本后门程序、‘FakeUpdate’注入器、定制化凭据窃取工具，再结合 PDQ、Action1 等合法远程监控与管理工具，‘浑水’组织展现出更强的能力 —— 能将定制化代码与商业工具整合，从而提升隐蔽性和持久控制能力。”   消息来源：thehackernew； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个与伊朗有关联的组织被指参与了一场针对欧洲及世界其他地区大使馆和领事馆的“协同”且“多波次”的鱼叉式网络钓鱼活动。 以色列网络安全公司 Dream 将此活动归因于与伊朗结盟的操作者，这些操作者与一个名为“Homeland Justice”（国土正义）的组织所进行的更广泛的攻击性网络活动有关。该公司称：“这些邮件被发送给全球多个政府收件人，伪装成合法的外交通信。有证据表明，在地缘政治紧张局势加剧时期，针对外交和政府实体的地区性间谍活动范围扩大了。” 该攻击链涉及使用与伊朗和以色列之间地缘政治紧张局势相关的鱼叉式网络钓鱼邮件来发送恶意 Microsoft Word 文档。该文档在打开后会催促收件人“启用内容”以执行内嵌的 Visual Basic for Applications (VBA) 宏，该宏负责部署恶意软件负载。 据 Dream 称，这些邮件被发送至中东、非洲、欧洲、亚洲和美洲的大使馆、领事馆和国际组织，这表明此次活动撒下了一张广泛的钓鱼网。据称，欧洲各国大使馆和非洲机构是遭受攻击最严重的对象。 这些数字邮件来自 104 个被入侵的独特地址，这些地址属于官员和伪政府实体，以此增添一层可信度。至少部分邮件来源于阿曼外交部在巴黎的一个被入侵邮箱（*@fm.gov.om）。 Dream 表示：“诱饵内容持续提及紧急的外交部通讯、传达权威性，并利用了启用宏来访问内容的常见做法，这是一场精心策划的间谍行动的标志， deliberately 掩盖了攻击来源。” 攻击的最终目的是利用 VBA 宏部署一个可执行文件，该文件能够建立持久性、联系命令与控制 (C2) 服务器并收集系统信息。 网络安全公司 ClearSky 在上个月底也详细说明了此次活动的某些方面，称这些网络钓鱼邮件被发送至多个外交部。 ClearSky 在 X 上的一篇帖子中表示：“伊朗威胁行为者在 2023 年针对阿尔巴尼亚的穆哈黑丁（Mojahedin-e-Khalq）时使用了类似的混淆技术。我们以中等把握评估，此次活动与相同的伊朗威胁行为者有关联。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客组织Lab Dookhtegan据称扰乱了60艘伊朗船只的通信。此次攻击至少影响了39艘油轮和25艘货轮，这些船只由受美国制裁的伊朗海运企业——国家伊朗油轮公司和伊朗伊斯兰共和国航运公司运营。 黑客攻破了卫星通信公司Fannava，禁用“猎鹰”通信系统并清除了核心数据。攻击致使伊朗船只陷入“失明”状态。 该组织发布的截图显示，他们已获取运行iDirect卫星软件（版本2.6.35）的Linux终端根权限。该软件版本陈旧，不符合基本网络安全标准。 黑客通过逐个调制解调器测绘伊朗船队，控制了“猎鹰”通信系统，并持续潜伏五个月后，于8月使船只陷入瘫痪。 “一旦入侵成功，黑客便瞄准名为‘猎鹰’的核心系统——正是这套软件维持着卫星链路的运行。它如同船舶通信系统的心脏。停止‘猎鹰’系统，船只便陷入黑暗：无法与岸上邮件往来，收不到气象更新，失去港口协调能力，彻底与世隔绝。”博客作者Nariman Gharib报道称。 “但邮件日志实际揭示的内容更为惊人：时间戳可追溯至五月和六月。这意味着Lab-Dookhtegan并非仅在三月实施突击后就撤离。他们持续潜伏在伊朗海事网络中长达五个月，始终保持着访问权限，可随时启停系统，很可能监控了所有往来通信。” 攻击者以造成永久性破坏为目标，用零值覆盖六个存储分区，清除了日志、配置和恢复数据，彻底摧毁了船舶通信系统。 “我正查看一份包含电话号码、IP地址的电子表格——最令人难堪的是——密码竟以明文存储。诸如‘1402@Argo’‘1406@Diamond’这类弱密码随处可见。”博客文章继续指出，“凭借这些数据，攻击者理论上可监听船港间通话，冒充船舶身份，甚至通过切断语音通信制造更大混乱。” 这是Lab-Dookhtegan今年发起的第二次攻击，此前曾在三月导致116艘船只通信中断。本次袭击恰逢美国对伊朗石油实施新制裁，使得破坏程度尤为严重。黑客不仅造成临时中断，每艘受影响船舶现在都需要完全重装系统，这个过程可能导致船只停运数周甚至数月。对于本就承受压力、依赖持续通信协调以避免被扣押的伊朗船队而言，这无疑是灾难性打击。失去导航能力、通信功能甚至求救手段，整个船队已实际陷入瘫痪。此次攻击绝非意外，而是经过精密策划、瞄准伊朗最脆弱时刻的精准打击，所有证据表明，这场行动取得了成功。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一款新的安卓间谍软件痕迹，该软件很可能与伊朗情报与安全部（MOIS）有关联，并伪装成VPN应用和SpaceX提供的卫星互联网服务Starlink（星链）向目标分发。 移动安全供应商Lookout表示，在上个月以色列-伊朗冲突爆发后一周，他们发现了四个被其追踪为DCHSpy的间谍工具的样本。具体有多少人可能安装了这些应用尚不清楚。 安全研究人员Alemdar Islamoglu和Justin Albrecht表示：“DCHSpy收集WhatsApp数据、账户、联系人、短信、文件、位置和通话记录，并能录音和拍照。” DCHSpy最早于2024年7月被发现，被评估为与MOIS有关的伊朗国家背景黑客组织MuddyWater所为。该黑客团伙还被称为Boggy Serpens、Cobalt Ulster、Earth Vetala、ITG17、Mango Sandstorm（原Mercury）、Seedworm、Static Kitten、TA450和Yellow Nix。 早期的DCHSpy版本已被发现通过Telegram渠道，利用反对伊朗政权主题的内容，针对英语和波斯语用户。鉴于使用VPN作为诱饵来宣传该恶意软件，异议人士、活动人士和记者很可能是该活动的目标。 据推测，新发现的DCHSpy变种正在针对该地区最近冲突中的对手进行部署，手段是将其伪装成看似有用的服务，如Earth VPN（“com.earth.earth_vpn”）、Comodo VPN（“com.comodoapp.comodovpn”）和Hide VPN（“com.hv.hide_vpn”）。 有趣的是，一个Earth VPN应用样本被发现以“starlink_vpn(1.3.0)-3012 (1).apk”名称的APK文件形式分发，这表明该恶意软件很可能利用与星链相关的诱饵传播给目标。 值得注意的是，星链的卫星互联网服务于上月在伊朗政府实施网络封锁期间被激活。但几周后，该国议会投票决定将其未经授权的使用定为非法。 作为一个模块化木马，DCHSpy配备了多种数据收集功能，包括设备登录账户、联系人、短信消息、通话记录、文件、位置、环境录音、照片和WhatsApp信息。 DCHSpy还与其他名为SandStrike的安卓恶意软件共享基础设施。卡巴斯基于2022年11月标记出SandStrike，该恶意软件伪装成看似无害的VPN应用针对波斯语个体。 DCHSpy的发现是安卓间谍软件被用于针对中东地区个人和实体的最新案例。其他有记录的恶意软件家族包括AridSpy、BouldSpy、GuardZoo、RatMilad和SpyNote。 Lookout表示：“DCHSpy使用与SandStrike相似的战术和基础设施。它通过Telegram等即时通讯应用直接共享恶意链接，分发给目标群体和个人。” “这些最新的DCHSpy样本表明，随着中东局势的演变，尤其是伊朗在达成与以色列的停火后加强对本国公民的管控，该间谍工具在持续开发和利用。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国政府警告称，在美国对伊朗核设施实施打击后，伊朗可能继续发动网络攻击。 据路透社报道，亲伊朗黑客威胁将公开据称从特朗普总统身边人手中窃取的电子邮件，美国联邦当局称此举是“精心策划的抹黑行动”。 美国网络安全和基础设施安全局（CISA）周一晚间表示，这些针对特朗普的邮件威胁“不过是数字宣传”，目的是损害特朗普及其他联邦官员的形象。 CISA发言人玛西·麦卡锡在社交媒体发文称：“敌对的外国势力威胁非法利用所谓被盗且未经核实的材料，企图转移注意力、抹黑和分裂美国。这些犯罪分子将被追查并绳之以法。” 路透社报道称，他们通过在线渠道联系了这些所谓的黑客。对方声称掌握大量邮件，包括特朗普幕僚长苏西·威尔斯、其他高级顾问以及色情演员斯托米·丹尼尔斯（特朗普因向其支付“封口费”而被定罪）的通信记录。 去年，联邦检察官指控三名伊朗人入侵特朗普总统竞选团队。黑客还针对拜登和哈里斯的民主党竞选团队发动攻击，并曾试图将所谓窃取的特朗普材料泄露给民主党人和媒体记者，但未成功。 就在CISA、FBI和国家安全局发布公开警告的同一天，出现了这一新的邮件泄露威胁。三家机构警告称，尽管伊朗与以色列达成脆弱停火，但支持德黑兰的黑客组织仍可能攻击美国利益。 当局警告，这些黑客可能试图破坏或瘫痪关键基础设施，如公用事业、交通和经济枢纽，还可能针对与以色列有关联的美国国防承包商或其他企业。 公告建议采取防御措施，包括定期更新软件和使用强密码管理系统。 在美国打击伊朗核设施后，支持德黑兰的黑客曾针对美国银行、国防承包商和能源公司发动攻击，但尚未造成大规模破坏。     消息来源： securityweek ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和情报机构发布联合警报，警告伊朗国家支持或附属威胁行为者可能发动网络攻击。这些机构指出：“过去几个月，黑客分子和伊朗政府关联网络行为者的活动持续增加，预计近期事件将导致局势升级，”但“目前尚无证据表明伊朗在美协调发起恶意网络活动。” 伊朗网络行为者通常利用未打补丁或过时的软件漏洞（含已知通用漏洞披露CVE），以及互联网连接设备和账户使用默认或常见密码的机会实施攻击。攻击者常从Shodan等侦察工具入手，寻找暴露在互联网的脆弱设备（尤其在工业控制系统环境中），随后利用弱网络分段或防火墙配置错误横向移动。其攻击手段包括： 密码破解：自动化密码猜测、利用在线资源破解密码哈希值、输入设备制造商默认密码。 工具滥用：使用远程访问工具（RAT）、键盘记录器及PsExec、Mimikatz等合法管理工具提权。 OT系统渗透：通过系统工程和诊断工具入侵工程设备、性能安全系统及第三方维护系统。 国防工业基地（DIB）公司面临更高风险，尤其与以色列研究及防务公司存在关联的企业。美国与以色列实体还可能遭遇分布式拒绝服务（DDoS）攻击和勒索软件攻击。近期伊朗国家黑客组织APT35已针对以色列记者、网络安全专家发起鱼叉式钓鱼攻击，仿冒Gmail登录页面窃取凭证。 防护措施建议： 隔离关键资产：断开OT/ICS设备与互联网的连接，重点防护VNC、RDP、SSD等远程访问技术。 强化认证机制：为所有账户设置高强度唯一密码，替换弱密码/默认密码，强制实施防钓鱼多因素认证（MFA）。 系统与备份管理：及时修补漏洞，监控OT网络远程访问日志，建立完整系统与数据备份。 流程控制：建立防止未授权变更、视野丢失或控制丢失的OT流程。 攻击面评估：利用CISA网络卫生计划或Nmap等工具扫描暴露系统、开放端口及过时服务。 美国国土安全部（DHS）近期公告警示，尽管已宣布停火，但亲伊朗黑客分子仍可能实施低级别网络攻击。各机构强调需保持高度警惕：“即使存在停火协议和持续谈判，伊朗附属网络行为者与黑客组织仍可能进行恶意网络活动。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意攻击者正试图借伊朗局势升温之机倒卖旧数据。尽管数据陈旧，其潜在危害仍不容小觑。 某数据泄露论坛近期出现兜售伊朗核能生产开发公司（NPPD）敏感数据的广告。该公司隶属伊朗原子能组织（AEOI），负责国家核能开发管理。攻击者宣称窃取了高达25GB的机密数据，包含员工姓名、身份证件、核能项目文件，甚至部分员工的加密货币持有量。 网络安全研究团队分析样本后指出，所谓“新泄露”实为2019-2020年旧数据的重新包装，涉嫌欺诈买家。研究人员强调：“此类旧数据改头换面高价出售已成常态。数据不会过期，可反复用于受害者画像分析或大规模凭证填充攻击，直至榨干最后一分钱。” 当前伊朗-以色列冲突骤然升级背景下，攻击者可能利用这些核能机构员工信息实施精准钓鱼攻击。6月以来，双方黑客组织活动激增：伊朗黑客劫持以色列家庭监控摄像头实时追踪人员动向，迫使政府通过广播警告民众；以色列黑客则对伊朗金融系统实施打击，窃取加密货币交易所近9000万美元资产。网络安全专家警示：“网络领域已成为以伊冲突主战场。”         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家支持的黑客组织“Educated Manticore”被揭露针对以色列记者、网络安全专家及计算机科学教授发起钓鱼攻击。该组织与伊斯兰革命卫队(IRGC)关联，攻击者通过电子邮件和WhatsApp冒充技术高管或研究人员的虚构助理，诱导目标访问伪造的Gmail登录页面或Google Meet邀请链接。 网络安全公司Check Point将此次行动归因于代号Educated Manticore的威胁集群，该组织与APT35（及其子集群APT42）、CALANQUE、Charming Kitten等十余个知名黑客团体存在重叠。该高级持续性威胁(APT)组织长期采用精心设计的社交工程手段，通过Facebook、LinkedIn等平台虚构身份诱骗目标部署恶意软件。 Check Point指出，自2025年6月中旬伊朗-以色列冲突升级以来，该组织利用定制化的虚假会议邀请（通过邮件或WhatsApp）对以色列个人发动新攻势。由于消息结构严谨且无语法错误，推测其使用人工智能(AI)工具生成内容。其中一则WhatsApp消息甚至利用当前地缘政治紧张局势，以“急需协助开发AI威胁检测系统应对6月12日以来的网络攻击激增”为饵诱导受害者参会。 攻击初期消息不含恶意载荷，专注于建立信任。当攻击者通过对话获取目标信任后，会发送钓鱼链接导向伪造登录页面以窃取谷歌账号凭证。发送链接前，攻击者会索要目标邮箱并预填至钓鱼页面，模仿正规谷歌认证流程提升可信度。该定制钓鱼工具包采用基于React的单页应用和动态路由技术，通过实时WebSocket连接传输窃取数据，并能隐藏代码规避检测。 钓鱼页面不仅能窃取账户凭证，还可捕获双重验证(2FA)码实施中继攻击，并内置被动键盘记录程序——若用户中途放弃操作，所有输入内容仍将被窃取。部分攻击还利用Google Sites域名托管伪造会议页面，点击页面任意位置即触发认证流程。 网络安全专家警示：Educated Manticore在伊朗-以色列冲突升级阶段持续构成高危威胁。该组织以激进钓鱼手段、快速搭建攻击基础设施、及时撤除暴露据点为特征，使其能在严密监控下保持高效攻击能力。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列官员正紧急呼吁民众断开联网安全摄像头的电源，警告伊朗可能利用这些设备收集实时情报并调整导弹打击坐标。以色列国家网络局前副局长雷法埃尔·佛朗哥（Refael Franco）上周在公共电台采访中透露，伊朗黑客近期持续尝试访问私人监控系统，以评估其导弹袭击效果。 “我们掌握的情报显示，过去两三天内伊朗人不断尝试连接摄像头，目的是了解导弹实际落点及毁伤效果，从而提高打击精度。”佛朗哥在声明中未提供具体证据。以色列国家网络局发言人对彭博社证实，闭路电视监控系统正日益成为伊朗网络行动的攻击目标。本月初，因担忧黑客入侵和间谍活动，以色列已禁止政府官员使用任何连接公共互联网或电信网络的设备。 监控摄像头在现代战争中已成为极具吸引力的间谍工具。在包括俄乌冲突在内的多场战争中，此类系统被用于监视部队调动、防空阵地部署及关键基础设施动态。网络安全研究人员频繁报告各类联网摄像头品牌存在安全漏洞——某些未修复的陈旧漏洞甚至让黑客能持续访问设备。 今年1月，乌克兰当局通报拆除了基辅市两台据称被俄情报部门入侵的监控摄像头。调查人员称，攻击者通过远程操控调整摄像头拍摄角度，并将敏感画面实时传输至网络。另一起案件中，乌克兰安全局（SBU）逮捕了一名受雇于俄罗斯军事情报局（GRU）的本地公民，此人涉嫌在战略设施附近安装监控设备。当局披露，该男子通过Telegram被招募，对方承诺提供“轻松获利”的报酬。 类似安全忧虑在俄罗斯同样浮现。去年8月，莫斯科内政部警告边境地区居民停止使用监控摄像头，声称乌克兰军队正利用未加密系统收集道路及军事设施情报。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亲以色列黑客组织“Predatory Sparrow”宣称对伊朗最大加密货币交易所Nobitex发起网络攻击，窃取价值超9000万美元的加密货币并将其销毁。这场具有政治动机的袭击发生于2025年6月18日，Nobitex于美国东部时间凌晨2:24首次在社交平台X上披露入侵事件。 “6月19日上午，技术团队检测到部分报告基础设施和热钱包存在未经授权访问迹象，”Nobitex在声明中表示，“我们已立即暂停所有访问权限，内部安全团队正在紧急评估事件影响范围。” 袭击发生后不久，“Predatory Sparrow”通过其波斯语账号“Gonjeshke Darande”宣布对事件负责，并威胁将公开从Nobitex内部网络窃取的源代码及机密数据。该交易所网站自遇袭后始终处于瘫痪状态。 “继伊朗革命卫队旗下‘塞帕银行’之后，现在轮到Nobitex。警告！24小时后我们将公开其源代码与内部信息，届时仍滞留该平台的资产将面临风险，”该组织在声明中强调，“Nobitex交易所是该政权在全球资助恐怖主义的核心工具，更是其最偏好的制裁规避渠道。” 区块链分析公司Elliptic证实，超过9000万美元加密货币从Nobitex钱包中被转移至黑客控制的地址。但该组织并未试图变现牟利，而是将绝大部分资金转入嵌有反伊斯兰革命卫队（IRGC）标语的“靓号地址”（例如含“F*ckIRGCterrorists”字样的加密钱包）。此类特殊地址需消耗巨量算力生成可用私钥，而Elliptic指出：“创建如此长字符串名称的靓号地址在计算上不可行”，这意味着黑客实质永久锁死了这些资产。 “此次攻击显然非经济动机驱动，”Elliptic分析称，“黑客采用‘暴力破解’生成靓号地址——需创建海量密钥对直至匹配目标文本，但生成这种超长字符串地址的计算难度超出实际可行性。”调查还显示，Nobitex与伊朗革命卫队及高层存在关联。早前研究证实该交易所与最高领袖哈梅内伊亲属、革命卫队关联商业集团及受制裁个人有密切联系，这些人涉嫌利用平台转移勒索病毒赃款。 值得注意的是，“Predatory Sparrow”在袭击Nobitex前一日还攻陷了伊朗国有塞帕银行（Bank Sepah），同样以系统瘫痪为核心目标而非谋取资金。两起事件爆发之际，伊朗正通过日益严格的网络隔离措施降低关键基础设施遭受升级攻击的风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文