数日前，微软发布了年度《Digital Defense Report》，指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天，这家科技巨头再次发布了一份咨询报告，称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。 图片来自于微软 微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群，其身份尚未得到确认。一旦对他们的身份达到足够高的信任度，这个 ID 就会被改变为一个被命名的威胁行为者的 ID。 截至目前，DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒（Password Spraying），这显然意味着具有多因素认证（MFA）的账户对它有弹性。微软表示，超过 250 个订阅用户成为攻击目标，但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。 微软将这一活动与伊朗联系起来的一些理由如下。 根据生活模式分析，这一活动可能支持伊朗伊斯兰共和国的国家利益，与伊朗行为者在地理和部门目标上的广泛交叉，以及与源自伊朗的另一行为者在技术和目标上的一致性。 微软公司评估说，这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运，以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。 鉴于伊朗过去对航运和海上目标的网络和军事攻击，微软认为这一活动增加了这些行业的公司的风险，微软鼓励这些行业和地理区域的客户审查本博客中分享的信息，以防御这一威胁。 微软强调，DEV-0343 已经继续发展，并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量，列举 Exchange ActiveSync 或 Autodiscover 端点，使用后者来验证账户和密码，以及利用密码喷雾工具，如 o365spray。 微软建议客户也使用 MFA 和无密码解决方案，如Microsoft Authenticator，审查Exchange Online访问策略，并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sentinel列出了一些狩猎查询，客户可以利用它们来检测恶意活动。你可以在这里查看它们。   （消息及封面来源：cnBeta）

据外媒报道，网络安全公司SentinelOne的研究人员在一份新报告中重建了最近对伊朗火车系统的网络攻击并发现了一种新的威胁因素–他们将其命名为MeteorExpress–这是一种以前从未见过的wiper。 7月9日，当地媒体开始报道针对伊朗火车系统的网络攻击，黑客在火车站的显示屏上涂鸦以要求乘客拨打伊朗最高领袖哈梅内伊办公室的电话号码“64411”。 火车服务中断仅一天之后，黑客就关闭了伊朗运输部的网站。据路透社报道，在网络攻击目标成为道路与城市发展部的电脑后，该部门的门户网站和副门户网站都发生了瘫痪。 SentinelOne首席威胁分析师Juan Andres Guerrero-Saade在他的调查中指出，袭击背后的人将这种从未见过的wiper称为Meteor并在过去三年开发了它。 Guerrero-Saade指出：“目前，我们还无法将这一活动跟先前确定的威胁组织或其他攻击联系起来。”他补充称，多亏了安全研究员Anton Cherepanov和一家伊朗反病毒公司，他们才得以重建这次攻击。“尽管缺乏具体指标的妥协，我们能恢复在帖子中描述的大部分攻击组件以及他们错过的额外组件。在这个关于火车停站和油嘴滑舌的网络巨魔的离奇故事背后，我们发现了一个陌生攻击者的指纹。” Guerrero-Saade表示，Padvish安全研究人员的早期分析是SentinelOne重建的关键，同时“恢复的攻击者伪造物包括更长的组件名称列表”。 “攻击者滥用Group Police来分发cab文件进行攻击。整个工具包由批处理文件组合而成，这些批处理文件协调了从RAR档案中删除的不同组件，”Guerrero-Saade解释道。 “档案用攻击者提供的Rar.exe解压，密码为’hackemall’。攻击组件是按功能划分的：Meteor基于加密配置加密文件系统，nti.exe破坏MBR，mssetup.exe则锁定系统。” SentinelOne发现，大多数攻击是通过一组批处理文件嵌套在各自的组件旁边并在连续执行中链接在一起。 该批文件通过伊朗铁路网共享的CAB文件复制了最初的部件。在那里，批处理文件使用自己的WinRAR副本从而从三个额外的档案文件解压额外的组件，这里使用了一个精灵宝可梦主题的密码“hackemall”，这也是在攻击期间在其他地方引用的。 “此时，执行开始分裂成其他脚本。第一个是’cache.bat’，它专注于使用Powershell清除障碍并为后续元素做好准备。”Guerrero-Saade说道，“’cache.bat’执行三个主要功能。首先，它将断开受感染设备跟网络的连接。然后它检查机器上是否安装了卡巴斯基杀毒软件，在这种情况下它会退出。最后，’cache.bat’将为其所有组件创建Windows Defender排除并有效地扫清了成功感染的障碍。” 报告解释称，这个特定的脚本对重建攻击链具有指导意义，因为它包括一个攻击组件列表，能让研究人员可以搜索特定的东西。 在部署了两个批处理文件，机器会进入无法引导并清除事件日志的状态。在一系列其他操作之后，update.bat将调用”msrun.bat”，它将”Meteor wiper executable as a parameter”。 Guerrero-Saade指出，另一个批处理文件msrun.bat在一个屏幕锁和Meteor wiper的加密配置中移动。名为”mstask”的脚本创建了一个计划任务，然后设置它在午夜前5分钟执行Meteor wiper。 “整个工具包存在一种奇怪的分裂程度。批处理文件生成其他批处理文件，不同的rar档案包含混杂的可执行文件，甚至预期的操作被分成三个有效载荷：Meteor清除文件系统、MSInstall .exe锁定用户、nti.exe可能破坏MBR，”Guerrero-Saade写道。 “这个复杂的攻击链的主要有效载荷是放在’env.exe’或’msapp.exe’下的可执行文件。在内部，程序员称它为“Meteor”。虽然Meteor的这个例子遭遇了严重的OPSEC故障，但它是一个具有广泛功能的外部可配置wiper。” 据报道，Meteor wiper只提供了一个参数，一个加密的JSON配置文件”msconf.conf”。 Meteor wiper删除文件时，它从加密配置删除阴影副本并采取一个机器出域复杂的补救。据报道，这些只是Meteor能力的冰山一角。 虽然在袭击伊朗火车站时没有使用，但wiper可以更改所有用户的密码、禁用屏幕保护程序、基于目标进程列表终止进程、安装屏幕锁、禁用恢复模式、更改启动策略错误处理、创建计划任务、注销本地会话、删除影子副本、更改锁定屏幕图像和执行要求。 Guerrero-Saade指出，wiper的开发人员为该wiper创造了完成这些任务的多种方式。“然而，操作人员显然在编译带有大量用于内部测试的调试字符串的二进制文件时犯了一个重大错误。后者表明，尽管开发人员拥有先进的实践，但他们缺乏健壮的部署管道以确保此类错误不会发生。此外要注意的是，该样本是在部署前6个月编制的且没有发现错误。其次，这段代码是自定义代码的奇怪组合，其封装了开源组件(cppt . httplib v0.2)和几乎被滥用的软件(FSProLabs的Lock My PC 4)。这跟外部可配置的设计并列从而允许对不同操作的有效重用。” 当SentinelOne的研究人员深入研究Meteor时，他们发现，冗余证明wiper是由多个开发人员添加不同组件创建的。 报告还称，wiper的外部可配置特性表明它不是为这种特殊操作而设计的。他们还没有在其他地方看到任何其他攻击或变种Meteor wiper。 研究人员无法将攻击归咎于特定的威胁行为者，但他们指出，攻击者是一个中级水平的玩家。 Guerrero-Saade继续说道，SentinelOne“还不能在迷雾中辨认出这个对手的形态”并推断它是一个不道德的雇佣军组织或有各种动机的国家支持的行动者。 尽管他们无法确定攻击的原因，但他们指出，攻击者似乎熟悉伊朗铁路系统的总体设置以及目标使用的Veeam备份，这意味着威胁行为者在发动攻击之前在该系统中待过一段时间。 据路透社报道，袭击发生时，伊朗官员没有证实是否有人索要赎金也没有证实他们认为谁是袭击的幕后黑手。   （消息及封面来源：cnBeta）  

据外媒报道，一名为伊朗工作的网络罪犯攻击了一名前以色列国防军(IDF)参谋长的电脑并获得了他整台电脑数据库的访问权限。Channel 10确认该名黑客是Yaser Balgahi。据报道，他事后吹嘘自己的黑客攻击行为，然而他在不知情的情况下留下了自己身份的痕迹。 这一情况使得伊朗关闭了针对全球1800人的网络行动，其中包括以色列军方将领、波斯湾人权捍卫者和学者。 《以色列时报》在以色列网络安全公司Check Point披露了伊朗这一黑客行动两周后首次对外做了报道。Channel 10则在周二做了报道。Check Point Software Technologies CEO Gil Shwed在1月底告诉以色列电台，攻击开始于两个月前，另外目标收到了意在在他们的电脑上安装恶意软件的电子邮件。 据悉，超1/4的收件人打开了邮件，无意中下载了间谍软件，这让黑客得以从他们的硬盘中窃取数据。 而在过去两年的时间里，以色列遭到了数次网络攻击。据官员称，一些渗透行动是由跟真主党和伊朗政府有关的黑客实施的。 1月底，以色列能源部长Yuval Steinitz表示，以色列电力管理局是一次严重的网络攻击的目标。不过他没有具体说明袭击的来源。 今年6月，以色列网络安全公司ClearSky宣布，它探测到一波来自伊朗的针对以色列和中东目标的持续网络攻击，以色列将军们也在攻击对象之列。据这家公司披露称，其目的是间谍活动或其他民族国家利益。 根据ClearSky的说法，黑客使用了定向钓鱼等技术，他们利用看似合法和可信的虚假网站来获取用户身份数据。他们成功渗透了以色列境内的40个目标和国际上的500个目标。在以色列，攻击目标包括退休将军、安全咨询公司雇员和学术学者。 Shwed警告称，网络攻击的频率超过了网络安全投资的频率。 Jerusalem Venture Partners的执行合伙人Gadi Tirosh是以色列在网络安全技术领域仅次于美国的最活跃投资者之一。 目前，以色列有173家大到足以吸引风险资本和其他主要投资者的公司。根据以色列风险资本(IVC)研究中心本月早些时候发布的一份报告，以色列目前有430家网络公司，自2000年以来，平均每年有52家新的网络创业公司成立。   （消息及封面来源：cnBeta）

12月7日，研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发，可以让攻击者从流行的即时通讯应用程序中监视私人聊天，强迫Wi-Fi连接，自动接听特定号码的来电，以窃听通话。 今年9月，美国财政部对伊朗黑客组织APT39（又名Chaffer、ITG07或Remix Kitten）实施制裁。在制裁的同时，美国联邦调查局（FBI）发布了一份威胁分析报告，描述了Rana Intelligence Computing公司使用的几种工具，该公司充当了APT39组织进行恶意网络活动的幌子。 FBI正式将APT39的活动与Rana联系起来，详细列出了8套独立且不同的恶意软件。这些恶意软件是该组织用来进行电脑入侵和侦察活动的，其中包括一款名为“optimizer.apk”的Android间谍软件，具有信息窃取和远程访问功能。 该机构表示：“APK植入程序具有信息窃取和远程访问功能，在用户不知情的情况下，可以在Android设备上获得根用户访问权限。” “主要功能包括从C2服务器检索HTTP GET请求、获取设备数据、压缩和AES加密收集的数据，并通过HTTP POST请求将其发送到恶意C2服务器。” ReversingLabs在最新发表的一份报告中，对这种植入程序（“ com.android.providers.optimizer”）进行了更深入的研究。 据研究人员Karlo Zanki称，这种植入程序不仅可以出于政府目的进行音频录制和拍摄照片，还可以添加自定义的Wi-Fi接入点并强制受损设备连接。 Zanki在分析报告中表示：“这项功能的引入可能是为了避免因目标手机账户上数据流量的异常使用而被发现。” 除此之外，它还可以自动接听来自特定电话号码的电话，从而允许攻击者按需打开对话。 除了支持接收通过SMS消息发送的命令外，联邦调查局引用的最新“optimizer”恶意软件还滥用了辅助功能，以访问即时消息应用程序，如WhatsApp、Instagram、Telegram、Viber、Skype和一个名为Talaeii的非官方伊朗电报客户端。 值得注意的是，在伊朗人权中心（CHRI）以安全考虑为由披露消息后，Telegram此前曾在2018年12月向Talaeii和Hotgram的用户发出“不安全”警告。 Zanki总结说：“当目标锁定个人时，攻击者通常希望监控他们的沟通和行动。手机最适合实现这样的目标，因为大多数人都会随身携带。由于安卓平台占据了全球智能手机最大的市场份额，因此它是移动恶意软件的主要目标。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软周一表示，伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器，这些服务器是大多数企业网络的核心，并使入侵者能够完全控制其目标。 微软今天在一条简短的推文中表示，伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的，已经持续了至少两周。 MSTIC将这些攻击与一个伊朗黑客组织联系在一起，该公司追踪到的这个组织名为MERCURY，但他们MuddyWatter的绰号更为人所知。 该组织被认为是伊朗政府的承包商，在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。 根据微软的《数字防御报告》，这个组织历史上曾针对非政府组织、政府间组织、政府人道主义援助和人权组织。 尽管如此，微软表示，”MERCURY”最近的目标包括 “大量参与难民工作的目标 “和 “中东地区的网络技术提供商”。 但当安全研究人员推迟公布细节，给系统管理员更多的时间打补丁时，Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布，在几天内就引发了第一波攻击。 漏洞披露后，国土安全部给联邦机构三天时间打补丁或将域控制器从联邦网络中断开，以防止攻击，该机构预计攻击会到来，几天后，它们确实来了。 MERCURY攻击似乎是在这个概念验证代码公布后一周左右开始的，大约在同一时间，微软开始检测到第一个Zerologon利用尝试。     （稿源：cnBeta，封面源自网络。）

据俄塔社15日报道，美国司法部网站在周二发布声明称，美国当局起诉了两名“黑客”，称他们为报复美国暗杀伊朗“圣城旅”前指挥官卡西姆·苏莱曼尼将军而对美国进行了网络攻击。 美国司法部称，一名19岁的伊朗人和一名25岁的巴勒斯坦人被控犯有网络攻击罪和串谋实施网络攻击。美国负责国家安全事务的助理司法部长约翰·德默斯称，“作为报复美国开展军事行动暗杀苏莱曼尼一事的运动的一部分，这两名黑客攻击了无辜的第三方。”德默斯强调，这两人正在伊朗和巴勒斯坦“躲藏起来，避免遭受审判”。 美国当局指控称，这两名“黑客”于2019年12月开始合作，在美国国防部今年1月3日宣布在伊拉克巴格达国际机场附近开展无人机袭击打死苏莱曼尼之后，他们入侵了58个美国网站。在遭到攻击之后，这些网站的页面上都出现了以伊朗国旗为背景的苏莱曼尼将军的肖像，上面用英语写着“Down with America”。 美国司法部网站声明截图 美国司法部在声明中强调，这些被指控的黑客如果承认自己犯有共谋罪，将面临最高5年的监禁和最高25万美元的罚款，如果被控实施网络犯罪，将面临最高10年的监禁，以及最高25万美元的罚款。目前，美国马萨诸塞州地方法院正在审理此案。 在美国空军去年12月29日对伊拉克民兵组织“真主党旅”位于叙利亚和伊拉克境内的5个目标发动数次袭击之后，中东局势急剧升级。美国五角大楼当时表示，“真主党旅”对此前发生在伊拉克基尔库克基地的袭击事件负有责任，袭击导致美国一名平民雇员丧生。 伊朗将军苏莱曼尼 资料图 1月3日，美国国防部宣布美军在巴格达机场附近发动无人机袭击打死伊朗将军苏莱曼尼，并表示袭击其实是“防御性的”，目的是保护驻伊拉克美军和其他国家的军队。美方还指出，苏莱曼尼似乎同意在美国驻巴格达大使馆前举行抗议活动。作为回应，伊朗在1月8日凌晨对美军在伊拉克的两个目标：艾因-阿萨德基地和埃尔比勒机场发动了导弹袭击。     （稿源：新浪科技，封面源自网络。）