这次黑客攻击恰逢伊朗女子Mahsa Amini被警察拘留去世一周年纪念日，带有明显的借势迹象。 以伊朗为主要目标的黑客组织“黑色奖励”（Black Reward）在上周四宣布，针对数百万伊朗人使用的金融服务应用程序“780”发起网络攻击。 该组织在网上发布屏幕截图，图中写道：“打倒哈梅内伊！”“我们回到街头，因为革命仍在继续。为了女性、生命、自由。”消息末尾还加上了#MahsaAmini的标签，是指这位伊朗女子在2022年9月被警察拘留杀害一事。那次事件在当时引发了伊朗全国范围的抗议活动。 该组织在Telegram频道发布了一条消息，翻译如下：“众所周知，革命之火可能会平息，但它永远不会熄灭。黑色奖励组织属于人民，将一直与人民并肩行动，直到取得胜利。” 上述消息通过“780”应用程序推送。该应用程序支持在线购物、账单支付、银行余额查询等金融交易。程序开发商声称拥有超过600万用户。从上周四晚上到上周五，很多人在推特转发了这条消息，他们还通过视频分享消息，发表评论。 上周四晚上，讨论这次黑客攻击的推文。 该公司未回复置评请求。 2022年9月25日，“黑色奖励”在Telegram上首次亮相。当时，Mahsa Amini去世刚刚一周多。2022年10月，该组织发布了一份据称是伊朗政府与国际原子能机构的私人通信文件。伊朗政府将那次黑客攻击归咎于“来自特定国家的未经授权访问”，但没有具体指明是哪个国家。 当时，“黑色奖励”组织告诉外媒CyberScoop，它由伊朗人组成，表示“伊朗伊斯兰共和国说的一切都是谎言。我们支持妇女、生命和自由，与现政权作斗争。” “黑色奖励”组织的Telegram频道拥有超过87000名订阅者。2月28日，该频道发布了对隶属于伊斯兰革命卫队（IRGC）的法尔斯新闻社发动黑客攻击的第二部分。自那以后，该组织的Telegram频道一直处于休眠状态。 “黑色奖励”未回复置评请求。     转自安全内参，原文链接:https://www.secrss.com/articles/58585 封面来源于网络，如有侵权请联系删除

GhostSec报告了FANAP Behnama软件的成功入侵，他们将其描述为“伊朗政权自己的隐私入侵软件”。此漏洞导致大约 20GB 的受感染软件暴露。该组织声称，伊朗政府使用该软件进行公民监视，这代表了该国监视能力的重大进步。 作为证据，该组织分享了该软件的部分源代码，展示了其独特的面部识别功能，增强了其监控效果。在过去的两个月里，该组织声称已经逐个文件仔细分析了大约20GB的压缩数据。Ghostsec的目标是确保这些信息可以随时访问，帮助隐私受到损害的伊朗公民，并坚持全面隐私保护的必要性。 作为其活动的进一步举措，该组织建立了一个名为“IRAN EXPOSED”的专用Telegram频道。通过该平台，他们打算分享有关此次泄露的信息，并已经分享了部分受损软件数据，并附有有关其发现和结果的解释，以及他们的行为背后的理由。 除了分享屏幕截图和提供对软件功能的全面见解之外，GhostSec还主动开始将Behnama代码片段上传到其专用的Telegram频道。此上传包括配置文件和API数据等各种组件。该小组目前正在积极参与这一过程，并承诺在上传程序结束后提供深入的解释。 GhostSec接着揭示了FANAP软件公司内部的各种发展。其中包括基于面部识别的视频监控工具（在Pasargad Bank汽车GPS和跟踪系统中实施），车牌识别系统（可能对头巾警报产生影响）以及用于身份证打印的面部识别系统。这种集成汇编了公民生活的复杂方面，不仅可以确定服务的访问权限，还可以构建用于面部识别的虚拟配置文件。这种评估植根于软件代码，证实了软件功能和部署的无可争辩的证据。 GhostSec声称这些工具被伊朗政府、执法机构和军事人员积极使用。关于此次违规行为和随后曝光的动机的官方声明符合GhostSec在争取隐私权方面促进平等的目标。此次曝光旨在让伊朗民众在对政府监控的认识不断增强后要求获得隐私权。 值得注意的是，作为此次披露活动的一部分，GhostSec积极监控了FANAP对违规行为的响应。最初，GhostSec声称对 fanap-infra.com网站的关闭负责，这是他们对该公司报复活动的一部分。随后，该组织透露，与FANAP软件公司相关的另一个网站只能在伊朗境内访问，并且该公司的主要GitHub存储库已设为私有，可能是由于已经发生的泄露事件。     转自E安全，原文链接:https://mp.weixin.qq.com/s/EMO_RQrEqmN-APHlWn_LyQ 封面来源于网络，如有侵权请联系删除

德国联邦宪法保护办公室（BfV）警告称，APT组织Charming Kitten针对该国中对伊朗持不同政见的组织和个人。 2014年，iSight的专家发布了一份报告，描述了伊朗黑客利用社交媒体进行的最复杂的网络间谍活动，Charming Kitten组织成为头条新闻。 微软自2013年以来一直在追踪威胁行为体，但专家认为，该网络间谍组织至少自2011年以来一直活跃，目标是中东的记者和活动人士、美国的组织以及英国、以色列、伊拉克和沙特阿拉伯的实体。 2022年，几家IT安全服务提供商报告了APT集团中的魅力小猫Charming Kitten，据说该集团参与调查伊朗反对派人士和伊朗流亡者。网络攻击主要针对伊朗内外的持不同政见组织和个人，如律师、记者和记者或人权活动家。 网络间谍利用社交媒体收集目标信息，并作为社会工程攻击的载体。国家资助的黑客使用虚假的个人信息与受害者取得联系，并建立关系，使他们能够向目标妥协。一旦与受害者建立了融洽的关系，黑客就会向他们发送信息，其中包含一个指向网络钓鱼页面的在线聊天链接。产生个人接触后，受害者通过社会工程受到操纵，并被虚假承诺误导，并且一旦对话建立起来，黑客就会发出在线视频聊天的邀请。为了参与视频聊天，受害者必须点击攻击者的nt。在登录掩码中，受害者输入他们的登录数据，并允许攻击者访问他们使用的在线服务。 经过预先进行的社会工程，Charming Kitten可以有针对性地建立一种看似无害的联系，因为这个群体指的是受害者认识的人，或者是受害者认为合乎逻辑的话题。 CERTFA（波斯语计算机应急小组）在2022年发布的一份报告中详细介绍了与伊朗有关联的APT组织相关的TTP，CERTFA是一个匿名团体，负责监控伊朗网络犯罪分子和民族国家行为者针对世界各地伊朗公民进行的攻击。情报官员认为，德黑兰政府追踪到的伊朗异见人士可能会被该政权杀害。     转自E安全，原文链接:https://mp.weixin.qq.com/s/9MTMFJxKAEZgB_Dg-TjQ_g 封面来源于网络，如有侵权请联系删除

“阿里的正义”（Edalat-e Ali）黑客团伙声称，对入侵伊朗国家电视台及广播电台的现场直播负责。这次攻击中断并篡改了伊朗总统易卜拉欣·莱希在革命日仪式上的演讲画面。 2月11日，伊朗总统易卜拉欣·莱希在德黑兰的阿扎迪广场发表演讲，与聚集在这里的大批民众庆祝国家成立44周年。本是政府展示群众基础的大好时机，但此次活动却遭到黑客团伙“阿里的正义”的破坏。 黑客干扰了国家电视台的正常播报，转而放送“哈梅内伊去死”的口号，并敦促民众从政府银行中取出资金。此外，他们还鼓励公民参加定于2023年2月16日举行的反政府抗议活动。 图：“阿里的正义”中断了伊朗国家电视台的直播节目 驻德国的伊朗记者Bamdad Esmaili已经在自己的推特账户上证实了此次网络攻击。另一方面，阿里的正义团伙也在其Telegram频道上公布了攻击活动。根据外媒Hackread看到的一份声明，该团伙宣称对入侵广播和电视直播负责。 “我们阿里的正义组织已入侵伊朗伊斯兰共和国的广播与电视播报。首先，阿里的正义要向伊朗这个热爱自由的国家表示哀悼，既悼念这新的十年、也哀悼刽子手哈梅内伊对这个国家的不洁玷污。” “阿里的正义”组织 “阿里的正义”是谁？ 值得注意的是，阿里的正义是一个知名的黑客团伙，过去几年来一直在与伊朗政府作对。他们近期曾发动一系列黑客攻击，包括在2022年10月导致伊朗国营电视台发生直播中断。 2021年8月，该团伙还曾入侵了德黑兰北部一处监狱设施的计算机系统和安保摄像头，导致内部恶劣关押条件与严重侵犯人权行为的录像泄露。 伊朗、抗议、黑客与黑客行动主义者 自2022年9月以来，伊朗一直饱受网络攻击侵扰。当时，有匿名黑客发起了OpIran行动，支持伊朗民众因22岁库德族女孩玛莎·艾米妮(Mahsa Amini)之死发起的抗议。 艾米妮因未按规定佩戴头巾而遭到“指导巡逻队”，即德黑兰道德警察的逮捕，并在拘留期间死亡。 艾米妮之死引发了抗议者与政府当局间的冲突，对抗导致部分民众被捕和死亡。阿里的正义发动的这次最新攻击，也是为了支持伊朗方面的抗议者。 但伊朗政府坚持要对付抗议者，同时世界各地的黑客行动主义者也已经把矛头指向伊朗的关键基础设施。     转自 安全内参，原文链接：https://www.secrss.com/articles/51825 封面来源于网络，如有侵权请联系删除  

美国调查新闻网站“拦截者”（the Intercept）曾通过秘密渠道获得一批关于伊朗政府开发和建立移动通信监控体系的资料，并于2022年10月与加拿大网络安全实验室“公民实验室”（Citizen Lab）联手对其进行了分析，对伊朗方面使用的移动通信监控体系进行了初步揭秘。 伊朗“合法拦截系统”（LIS） 在伊朗，官方对移动通信用户进行监控有法律方面的保证。 伊朗通信管理局（CRA）曾制定相关条款，要求伊朗国内所有移动通信运营商都必须授予CRA特殊权限，使后者能够直接进入运营中的移动通信系统，执行获取用户信息、更改用户业务等操作。伊朗通信管理局将上述规定称为“合法拦截”条款。制定该条款的目的，在于储存移动用户信息、允许或阻止用户接入移动通信服务以及查看用户历史通话记录、发送短信内容以及移动数据使用情况，等等。 “公民实验室”尝试根据“拦截者”网站获得的资料，建立起伊朗通信管理局对国内用户实施通信监控的模型。 被称为“合法拦截系统”（Legal Intercept System，LIS）的伊朗移动通信监控系统是伊朗通信管理局在国内最大通信运营商Ariantel公司配合下组建的，主要包括合法拦截（LI）、非法设备控制（CID）、SHAHKAR系统和SHAMSA系统等四个子系统。 合法拦截系统主要用于监视移动通信设备的使用情况和活动控制，可以从用户处获取移动通信业务使用情况，必要时瘫痪和更改用户的移动通信接入； 非法设备控制系统可以在移动通信用户使用的SIM卡服务状态发生变化时向伊朗通信管理局发出提醒和警告； SHAHKAR系统实际上是一个能够储存伊朗所有移动用户信息的数据库，可用于检查用户的有效性。伊朗通信管理局一旦确定用户无效，可通过该系统阻止其注册尝试。另外，如果有用户试图转入其他移运通信运营商、更改电话号码或更新订阅信息，SHAHKAR系统都会向伊朗通信管理局发出提醒； SHAMSA系统相当于一个可以收集大量语音和短信息呼叫记录以及数据调取IP记录的接口。 在伊朗通信管理局对移运通信进行监控的活动中，Ariantel公司发挥的主要作用是为“合法拦截系统”提供了“关键组成元素”，即“业务支持系统”。该系统可以提供呼叫详细记录（CDR）、SIM卡更新等信息，可充当位置归属寄存器和用户服务器等，能够确认用户的网络实时位置，并授予其语音、短信息以及数据服务等权限。 伊朗通信管理局可借助该系统，使用多个API命令对用户信息进行实时查询，并向运营商下达实时控制命令。另外，该系统还可以把CDR等用户使用记录从移动运营商系统转移进SHAMSA系统进行存储。 “拦截者”网站获得的资料显示，Ariantel公司可能还使用了来自加拿大的融合业务支持系统（BBS）等软件产品来向“合法拦截系统”提供信息。 作为移动系统中的主力应用产品，BBS可用来储存用户、配置、业务费用支付、业务管理等信息。经改进后，该系统可在用户不知情的情况下，一边向“合法拦截系统”提供用户的详细使用信息，一边执行对其新业务或业务更新查询请求， 从姓名到住址，用户隐私一览无遗 对所获资料进行分析后，“公民实验室”提取了“合法拦截系统”使用的部分API控制命令并将其分为监视与控制两类。 GetIPDR、GetCdr、FullSearchByNum、BillingInfoSearch等为监视类命令。CDR可通过这些命令对用户在特定时间段内的语音呼叫和短消息记录、用户的移动服务和个人详细信息、计费信息、位置信息等情况进行检索和获取； 控制类命令包括ApplySusp（申请暂停）、ApplyDivert（应用转移）、Force2GNumber（强制转入2G信号）、SuspOrder（暂停服务）等，可用来阻止所有呼入呼出的语音通话或断开当前正在进行的通话、删除用户的呼叫转移设置或将所有来电转移到另一个号码、禁用所有 3G 和 4G 数据服务、强制用户的手机仅使用 2G 网络、阻止移动服务订单或阻止用户更改移动服务的请求。等等。 通过“合法拦截系统”的四大子系统，伊朗政府可以获得国内移动通信用户的多种信息。 资料显示，SHAHKAR系统还可以通过某种与SIM卡注册相关的API接口，在SIM卡激活动的过程中获取其内登记的信息，同时对这些信息进行筛查，以确定是否批准该SIM的激活动请求。 “拦截者”网站对所获资料综合梳理后确认，伊朗政府可以通过“合法拦截系统”获取以下用户个人信息： 姓名；家庭；父亲姓名；出生证号码；出生日期；出生地点；家庭电话号码；电子邮件地址；性别；邮政编码；国籍；护照号码；通信地址/家庭住址。 严格来说，上述信息均属用户隐私。但在强大的“合法拦截系统”面前，隐私已毫无秘密可言。 SIAM，支撑“合法拦截”的核心工具 据悉，伊朗通信管理局对“合法拦截系统”的使用是通过多款软件或服务完成的。在众多“工具”中，一款被称为“SIAM”的网页服务API堪称核心。 根据“拦截者”网站的说法，SIAM是一款“躲藏在伊朗移动通信系统背后使用的电脑工具”，拥有追踪手机用户位置、读取文本信息、强迫手机通信降网减速等多达40种功能。使用者可通过发布远程控制命令的方式，更改、扰乱、监视移动通信用户的手机使用情况。 迫使手机通信降网减速是SIAM的重要功能之一。“拦截者”网站对所获资料进行分析后指出，伊朗通信管理局可借助该工具对手机用户的网络连接进行远程控制，使用“Force2GNumber”命令迫使目标手机连接从5G、4G或3G网络降至2G网络。这项技术也颇受美国执法部门青睐。他们会使用某种专用设备，让2G信号对某个小范围区域进行覆盖，迫使区域内的手机不得不接入2G网络。 “拦截者”网站认为，迫使手机通信降网减速的操作可以达成三个目的。 首先是更有效地拦截、破解移动通信用户的语音通话和文本信息数据。目前移动通信大多基于4G甚至5G网络进行，其内嵌的加密系统功能强悍，可以最大限度地防止语音通话或文本信息被窃取。与之相比，1991年开始使用的2G网络不仅传输速度慢，所传输的数据很容易遭到拦截和窃取，而且在数据加密方面漏洞百出，使用该网络进行的语音通话或文本信息很容易被破解。 其次是更有效地阻止用户使用常规通话之外的社交通信软件。2G网络不仅传输速度慢，而且使用的传输协议“陈旧古老”，无法兼容目前常用的WhatsApp、Signal等现代社交通信软件。换句话说，运行于2G网络的手机无论性能多么先进，都只能进行常规的语音呼叫以及文本信息传送，无法使用流行的社交软件进行交流和沟通。 第三是对用户的数字帐户进行入侵。“拦截者”网站援引网络安全专家的话称，在2G网络下运行的手机更加容易被“入侵”。该网络只能使用双重身份验证，更高级、更安全的多重因素身份验证无法运行。因此使用2G网络的手机很容易遭到黑客入侵，进而造成手机数字帐户的丢失。 对手机用户进行定位和追踪是SIAM的另外一个重要功能。CRA可借此追踪特定个人的移动情况，并对某个特定地点现场所有人员进行身份确认。 具体来说，操作者可以向SIAM发出“LocationCustomerList”指令，确认某特定信号发射塔连接了哪些手机号码，以及使用这些号码的手机的国际移动设备识别码（IMEI）。 国际移动设备识别码即通常所说的手机序列号或手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。手机的国际移动设备识别码不可更改，所以即使用户更换SIM卡也不能隐藏身份。 在收集电话号码或手机国际移动设备识别码的过程中，SIAM还会对所获数据进行分析，判断出号码使用者的身份，以及他们的通话时间、具体地点，等等。 “公民实验室”安全事务研究员加里·米勒评论此功能时说，SIAM操作者可以轻而易举地确定哪些手机号码以及他们的使用者在敏感区域聚集，并视情况做出下一步动作。比如年初伊朗中部伊斯法罕省爆发抗议活动时,当地警察部门就确定了处于敏感地区内的电话号码并向其使用者发出警告，称他们正处于“不稳定区域”，并要求他们不要参与“不稳定活动”。很多社交软件用户也声称收到了类似信息，警告他们远离发生抗议活动的区域，不要在线上与反“反政府分子”联系。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/jkdWI0cDV4wt6hgs_debcQ 封面来源于网络，如有侵权请联系删除

以色列时报报道称，以色列国家安全机构一年前就已发现，有伊朗黑客团伙控制了以色列数十台安保摄像头，但并未采取任何阻止措施。直到上周一晚间有报道称，该黑客团伙发布了来自以色列各地的多段视频，包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。 此次播报为前期预告，完整调查报道在次日（12月20日）正式播出。以色列公共广播公司Kan称，尽管以色列官员早已发现黑客团伙Moses Staff的活动，但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。 该团伙在其Telegram频道上公布了多地视频画面，包括以色列海法拉斐尔国防承包工厂周边镜头，以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。 该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面，该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。 根据Kan广播公司的介绍，黑客团伙在很长一段时间内能够随意控制摄像机，包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。 安全官员在接受Kan采访时表示，Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。 Kan广播公司提到，完整报道将探讨黑客在监视以色列高级官员方面做出的尝试，同时会揭露Moses Staff背后的推动力量。 Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责，此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。 Moses Staff去年还曾表示其窃取到关于士兵的敏感信息，具体内容似乎来自LinkedIn上的公开资料；此外，该团伙还通过商业网站获得了以色列航拍图像。 还有另一条未经证实的消息，该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。   转自 安全内参，原文链接：https://www.secrss.com/articles/50405 封面来源于网络，如有侵权请联系删除

Deep Instinct的威胁研究团队发现了MuddyWater APT(又名SeedWorm、TEMP.Zagros和Static Kitten)进行的一项新活动，目标是亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国。 专家们指出，该运动展示了最新的TTP。 第一次MuddyWater攻击发生在2017年底，目标是中东地区的实体。 多年来，该组织不断发展，不断增加新的攻击技术。而后，该组织还将欧洲和北美国家作为攻击目标。今年1月，美国网络司令部(USCYBERCOM)正式将MuddyWater APT与伊朗情报与安全部(MOIS)联系起来。 Deep Instinct观察到，9月份开始的这次活动与过去的活动不同，它使用了一种名为“Syncro”的新远程管理工具。MuddyWater并不是唯一一个滥用Syncro的威胁者，该工具也被用于BatLoader和Luna Moth活动 APT小组使用HTML附件作为诱饵，并使用其他提供者托管包含远程管理工具安装程序的档案。 HTML附件通常被发送给收件人，而不会被防病毒和电子邮件安全解决方案阻止。 今年7月，威胁参与者被发现使用名为“promotion.msi”的安装程序提供的ScreenConnect远程管理工具。名字是“促销”。Msi也用于当前活动中雇用的安装人员。 此实例正在与另一个MuddyWater MSI安装程序进行通信，该安装程序名为Ertiqa.msi，这是一个以沙特人的名字命名的组织。在当前的浪潮中，MuddyWater使用了相同的名称。Ertiqa.msi，但与Syncro安装程序。”Deep Instinct的分析，“目标地理位置和部门也与MuddyWater之前的目标一致。综合来看，这些指标为我们提供了足够的证据，证实这就是MuddyWater。” Syncro提供了一个21天的试用，提供了一个功能齐全的web GUI来完全控制计算机。 “您选择MSP要使用的子域。”报告继续说道，“在调查MuddyWater使用的一些安装程序时，我们发现每封独特的邮件都使用了一个新的MSI。在大多数情况下，MuddyWater使用单个MSI安装程序的单个子域。” 专家们还分享了最近活动的妥协指标(ioc)。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/Jt5MMngfkam7Xm53DWwB-A 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，黑客组织“国内小猫”（Domestic Kitten）正在进行一项新的恶意攻击活动，该活动伪装成一个翻译应用程序，分发更新版本的 FurBall的Android 恶意软件。 “国内小猫”介绍 Domestic Kitten，也称 APT-C-50，据称是伊朗的一个黑客组织，主要是从受损的移动设备获取敏感信息，至少从 2016 年起，就一直非常活跃。 趋势科技（Trend Micro）在 2019 年一项分析报告中表示，APT-C-50 可能与另一个名为“弹跳高尔夫”（Bouncing Golf）的黑客组织有联系。（Bouncing Golf主要针对中东国家进行网络间谍活动）。 针对部分伊朗公民发动攻击 据 Check Point 报道，APT-C-50 依赖于伊朗博客网站、电报频道和短信等不同攻击载体，诱使潜在受害者安装恶意应用程序，主要攻击对象包括内部持不同政见者、反对派力量、ISIS 倡导者、伊朗库尔德少数民族等可能对伊朗政权稳定构成威胁的伊朗公民。 无论黑客采用何种方法，翻译应用程序都充当了一个管道，传递一种以色列网络安全公司命名为 FurBall 的恶意软件（KidLogger 的定制版本），该软件可以从设备中收集和过滤个人数据。ESET 发现最新一轮攻击活动主要涉及以翻译服务为幌子的应用程序。 应用程序（“sarayemaghale.apk”）是通过一个模仿 downloadmaghaleh[.]com 的假冒网站发布，该网站是一个合法网站，主要提供从英语翻译成波斯语的文章和书籍。 值得一提的是，该组织以前使用安全、新闻、游戏和壁纸等应用程序隐藏恶意软件。   转自 Freebuf，原文链接：https://www.freebuf.com/news/347519.html 封面来源于网络，如有侵权请联系删除

安全内参10月10日消息，支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报，在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。 在上周六晚间的电视转播期间，屏幕上出现了一条简短视频，“你的双手，沾满我们年轻人的鲜血。” “加入我们，站起来。”黑客组织Edalat-e Ali（阿里的正义）宣称对此负责。 在这波抗议浪潮中，活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。 伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后，街头抗议再次震动德黑兰等多处伊朗城市。。 伊朗国家通讯社IRNA报道称，“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”，示威者们“高呼口号，还放火烧毁了公共财产，包括一处警察亭。” 艾米妮9月16日身故以后，民众的愤怒被彻底点燃。就在三天前，这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定，而被臭名昭著的道德警察逮捕。 篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称，这场镇压活动已经夺走至少95人的生命。 伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称，9月30日，锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱，导致另外 90 人丧生。 伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀，另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计，目前革命卫队方面的死亡人数已经增加至14人。 “到处都是抗议” 伊朗遭受了近三年来最严重的一波社会震荡，包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。 美国活动家兼记者奥米德·梅马里安（Omid Memarian）在推特上说，“来自德黑兰的视频表明，这座城市里到处都是抗议，已经蔓延到了每一个角落。” 根据亨沃格人权组织称于上周六录制的视频，在艾米妮的家乡库尔德斯坦萨基兹，女学生们高呼口号并走上街头，在空中挥舞着头巾。 尽管伊朗已经全面中断了国内互联网连接，封锁了各大主要社交媒体平台，但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。 其中一段视频显示，在库尔德斯坦首府萨南达吉，一名男子被枪杀在自己的车内，该省警察局长阿里·阿扎迪（Ali Azadi）随后称此人是“被反革命势力所杀害”。 另一段在网上引起轩然大波的视频中，愤怒的男人们似乎将一名巴斯基民兵围住，并疯狂殴打。 还有视频片段显示，据称在伊朗东北部的马什哈德，一名年轻女性被枪杀。 社交媒体上许多用户表示，这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀，随后长期成为伊朗反对派的象征。 抗议者的对抗策略 面对暴力与网络限制，抗议者们采取了新策略，开始在公共场所传播自己的抵抗信息。 德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅，写道“我们不再害怕，我们将要抗争。”法新社核实了图片的真实性。 在其他画面中，还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌，从“警察服务人民”改成了“警察谋杀人民”。 有传言称，伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里（Ali Mohamad Mokhtari）反驳道，“这种说法纯属造谣，德黑兰的喷泉颜色没有任何变化。” 伊朗指责有外部势力在煽动抗议活动，否则全球数十个城市不可能同时组织起群体示威。与此同时，美国、欧盟及其他多国政府都对伊朗出台了新的制裁。 关于艾米妮的死，伊朗政府上周五公布了法医的调查结果，表示她的死因是长期健康问题，并非活动人士宣称的头部受到打击。 艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法，“我亲眼看到玛莎的耳朵和后颈流出了鲜血。” 转自 安全内参，原文链接：https://www.secrss.com/articles/47788 封面来源于网络，如有侵权请联系删除

美国财政部海外资产控制办公室（OFAC）昨天宣布，对隶属于伊朗伊斯兰革命卫队（IRGC）的10名个人和两家实体实施制裁，理由是他们参与了勒索软件攻击。 美国财政部声称，过去两年以来，这些个人涉嫌参与多起勒索软件攻击，并入侵了美国和全球其他地区组织的网络。 这些恶意活动，还与多家网络厂商分别跟踪的国家资助黑客活动存在交集，具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。 美国财政部表示，“已经有多家网络安全公司发现，这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击，包括勒索软件和网络间谍活动。” “该团伙针对全球各组织及官员发起广泛攻击，重点针对美国及中东地区的国防、外交和政府工作人员，同时也将矛头指向媒体、能源、商业服务和电信等私营行业。” 三名成员信息被悬赏3000万美元 作为伊朗伊斯兰革命卫队的附属组织，该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC（简称Najee Technology）和Afkar System Yazd公司（简称Afkar System）员工，其中包括： Mansour Ahmadi：Najee Technology公司法人、董事总经理兼董事会主席 Ahmad Khatibi Aghda：Afkar System公司董事总经理兼董事会成员 其他雇员及同事：Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo”in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh 美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员，理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部（MOIS）开展合作。 一年之后，美国财政部又制裁了Rana Intelligence Computing公司及部分员工，称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。 在此次制裁公告中，美国国务院提供3000万美元，征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击，面临美国司法部的指控。 图：悬赏海报（美国国务院） 美国安全公司提供溯源证据链 昨天，美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告，描述了该威胁团伙的恶意活动并披露了技术细节。 安全公司Secureworks也紧跟发布一份报告，证实了美国财政部的信息。 Secureworks公司表示，由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误，该公司成功将Nemesis Kitten（也称Cobalt Mirage）团伙同伊朗的Najee Technology、Afkar System两家公司，以及名为Secnerd的另一家实体联系了起来。 Secureworks公司反威胁部门（CTU）在今年5月的报告中，也曾提到涉及Nemesis Kitten的类似恶意攻击（与Phosphorus APT团伙存在交集）。 上周，微软表示，Nemesis Kitten（也称DEV-0270）团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙（又名Charming Kitten和APT35）的子部门，为个人或公司获取非法收入。” 微软将该团伙与多家伊朗企业联系了起来，其中包括Najee Technology、Secnerd和Lifeweb。 微软解释道，“该团伙的攻击目标有很大的随机性：他们会首先扫描互联网以查找易受攻击的服务器和设备，因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”   转自 安全内参，原文链接：https://www.secrss.com/articles/46950 封面来源于网络，如有侵权请联系删除