HackerNews 编译，转载请注明出处： 随着伊朗当局于2026年1月初实施的大规模互联网封锁结束，隐秘的伊朗威胁组织 Infy 在启用全新命令与控制（C2）基础设施的同时，也升级了其战术以更好地隐藏行踪。 安全公司SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据的研究副总裁Tomer Bar在报告中指出：“这是我们监测该威胁组织活动以来，其首次于 1 月 8 日停止维护 C2 服务器。”他进一步分析称：“当日伊朗当局为应对近期抗议活动，实施了全国断网，这或许表明，即便是政府关联的网络部队，在伊朗境内也不具备开展恶意活动的能力或动机。” 该网络安全公司表示，其于 2026 年 1 月 26 日观测到该黑客团伙重启活动，搭建了新的 C2 服务器，而次日伊朗政府便放宽了境内网络限制。这一动态意义重大，尤为关键的是，它提供了该威胁组织为伊朗国家资助、受伊朗政府支持的确凿证据。 Infy 是伊朗境内众多国家资助黑客团伙之一，这些团伙均围绕德黑兰战略利益，开展间谍活动、破坏行动及舆论影响操作。同时它也是历史最悠久、知名度较低的团伙之一，自 2004 年起便隐匿行踪、低调运作，通过针对个人的 “精准聚焦式” 攻击开展情报收集，从未引发过多关注。 SafeBreach在 2025 年 12 月发布的报告中，披露了该威胁组织的全新攻击手法，包括使用升级版 Foudre 和 Tonnerre 恶意软件，其中 Tonnerre 搭载电报机器人，疑似用于下达指令及收集数据。Tonnerre 最新版本（50 版）被赋予代号 “龙卷风（Tornado）” 对该威胁组织 2025 年 12 月 19 日至 2026 年 2 月 3 日期间活动的持续监测发现，攻击者已更换所有版本 Foudre 和 Tonnerre 的 C2 基础设施，同时推出 51 版龙卷风恶意软件，该版本同时采用 HTTP 协议与电报平台作为 C2 信道。 Bar 表示：“该恶意软件通过两种不同方式生成 C2 域名，一是全新域名生成算法（DGA），二是借助区块链数据反混淆技术生成固定域名，这是一种独特的方式，我们推测其用途是在无需升级龙卷风版本的前提下，提升 C2 域名注册的灵活性。” 另有迹象表明，Infy已将WinRAR中的一个“1-day”漏洞（CVE-2025-8088或CVE-2025-6218）武器化，用于在受感染主机上释放Tornado恶意负载。攻击载体的转变被视为提高其行动成功率的手段。2025年12月中旬，这些特制 RAR 压缩包从德国和印度被上传至 VirusTotal 平台，表明这两个国家或为攻击目标。 该RAR文件内为一个自解压（SFX）存档，包含两个文件： AuthFWSnapin.dll：即Tornado 51版的主DLL文件。 reg7989.dll：一个安装程序，会先检查是否未安装Avast杀毒软件；若未安装，则创建计划任务以实现持久化，并执行Tornado DLL。 Tornado通过HTTP与C2服务器通信，下载并执行主后门，同时收集系统信息。若选择Telegram作为C2通道，则会利用机器人API外传系统数据并接收进一步指令。 值得注意的是，恶意软件第50版使用了一个名为“سرافراز”（意为“自豪”）的Telegram群组，群内包含机器人账号“@ttestro1bot”和用户“@ehsan8999100”。而在最新版本中，后者已被替换为名为“@Ehsan66442”的新用户。 Bar 补充道：“与此前一样，Telegram群组中的机器人成员仍无权读取群聊消息。12月21日，原用户@ehsan8999100被添加至一个名为‘Test’的新Telegram频道，该频道当时仅有3名订阅者。此频道的具体用途尚不明确，但我们推测其被用于对受害机器的命令与控制。” SafeBreach称，其已成功提取该私密电报群组内的所有消息，获取了 2025 年 2 月 16 日以来所有被窃取的 Foudre 和 Tonnerre 相关文件，包括 118 个文件及 14 个共享链接 —— 链接内包含该威胁组织发送给 Tonnerre 的加密指令。对这些数据的分析揭示了两项关键发现： 一是发现一个恶意 ZIP 文件，会释放 ZZ 窃取器，该窃取器会加载 StormKitty 信息窃取软件的定制变种。 二是 ZZ 窃取器攻击链，与针对 Python 包索引（PyPI）仓库的攻击活动存在 “极强关联性”—— 攻击者上传恶意包 testfiwldsd21233s，用于释放 ZZ 窃取器早期版本，并通过电报机器人接口窃取数据。 三是 Infy 与Charming Kitten 组织，因均使用 ZIP 文件、Windows 快捷方式（LNK）文件及 PowerShell 加载器技术，存在 “较弱的潜在关联性”。 SafeBreach解释道：“ZZ Stealer似乎是一种第一阶段恶意软件（类似Foudre），会首先收集环境数据、截取屏幕截图并窃取所有桌面文件。此外，当从C2服务器收到‘8==3’指令时，它将下载并执行同样被攻击者命名为‘8==3’的第二阶段恶意软件。”   消息来源: thehackernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新报告揭露，今夏为期12天的对以冲突期间，亲伊朗黑客组织的网络威胁活动骤然激增。SecurityScorecard称其分析了25万条Telegram消息，揭示出涵盖情报收集、宣传攻势及针对关键基础设施与公共实体的直接攻击等多重活动。这些行动源自国家支持的黑客、代理人组织及支持伊朗战争目标的“意识形态同盟黑客活动分子”等多元群体。 主要活动包括： 宣传渗透：至少178个Telegram群组散布亲伊朗宣传，将“意识形态驱动讯息与协同网络攻击结合”，典型频道含“伊斯兰黑客军团”“抵抗阵线”等。 混合攻击：巴勒斯坦关联组织Cyber Islamic Resistance、Cyber Fattah，阿富汗Fatimion团队及伊斯兰黑客军团等团体，以“地方不满叙事”为名发起DDoS攻击、钓鱼行动及数据转储。 数据窃取：国家背景的Cyber Fattah通过扫描网络漏洞入侵沙特运动会系统，泄露含数千条个人身份信息（PII）的记录。 破坏行动：Fatimion团队实施网站篡改与DDoS攻击；Cyber Islamic Resistance进行服务中断、宣传广播及“士气动员”。 漏洞交易：突尼斯Maskers网络部队等牟利组织售卖零日漏洞并实施数据窃取。 国家级APT攻击同步升级 黑客组织Tortoiseshell（又名Cuboid Sandstorm）在冲突爆发数日内注册nowsupportisrael[.]com等煽动性域名，利用虚拟服务器托管钓鱼页面。该组织通过仿造支持以色列的请愿表单，诱骗希伯来语用户提交信息，并向筛选目标投放RemCosRAT远控木马。 报告指出，这些威胁行为体与伊朗伊斯兰革命卫队（IRGC）的关联程度及技术能力差异显著。“区分国家支持组织与机会主义团体对厘清日益复杂的网空冲突至关重要。”建议企业加强员工对钓鱼攻击的警觉性，并要求安全供应商评估自身是否可能成为攻击目标。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国议会情报安全委员会近日发布报告警示，伊朗黑客组织对英国构成重大威胁，尤其针对能源化工、公共事业及金融领域。这份在以色列-美国联合袭击伊朗核设施后发布的报告指出，截至2023年8月的证据显示，英国暂未成为伊朗网络攻击的首要目标，但“地区局势突变可能迅速改变这一态势”。 报告强调：“若伊朗决定对英国发动网络攻击，能源化工、公共事业及金融业将首当其冲。国家网络安全中心评估显示，当前英国机构普遍缺乏监测和抵御伊朗网络攻击的能力。”此前政府因应对不力放任俄罗斯“预部署攻击”关键基础设施的案例被列为前车之鉴，委员会警告“绝不能在伊朗问题上重蹈覆辙”。 虽然伊朗在网络技术水平上逊于中俄，但其利用简单技术针对基础漏洞发动攻击的能力仍构成实质性威胁。除国家控制的黑客组织外，为私利或国家情报任务行动的个人黑客同样值得警惕。 报告呼吁全国机构提高防御门槛基准线，要求国家网络安全中心强化支持体系，并建议将国家网络部队作为反击伊朗网络侵略的威慑力量。“英国必须让伊朗付出难以承受的代价”，报告称“公开归因攻击行为是有效威慑手段（尽管存在风险）”。 北极狼科技服务总裁丹·施亚帕指出，鉴于伊朗既往的磁盘擦除攻击、基建渗透和虚假信息战案例，所有行业均应保持高度戒备。他强调：“供应链攻击已重创过多家龙头企业，小微企业更须严肃对待该警告，包括修补已知漏洞、增强网络可视化能力和完善威胁检测机制。”派拓网络公共部门主管格雷姆·斯图尔特补充道：“追踪伊朗黑客动向的专家不会对此报告感到意外，这些全球最激进且最难预测的攻击者正随着地缘紧张局势快速行动，当前西方世界已进入最佳攻击窗口期。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府（KRG）实施网络间谍活动。 ESET研究证实，该组织自2017年首次入侵库尔德政府系统以来，持续升级其攻击工具库，展现出显著的技术演进。最新攻击活动中，攻击者部署了专为隐蔽驻留设计的恶意软件套件，其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件，规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行：监控所有传入HTTP请求，仅在检测到预设Cookie结构时激活攻击功能，其余时间完全隐匿于正常服务器进程。 攻击工具链还包括两款反向隧道工具Laret与Pinar，以及多阶段渗透工具集。 该套件使攻击者具备四项核心能力： ① 长期维持高价值目标系统访问权限 ② 通过加密通信躲避安全监测 ③ 利用合法Webmail账户远程执行指令 ④ 将恶意活动嵌入可信服务器进程实现深度隐匿 技术溯源显示，BladedFeline与伊朗国家级黑客组织OilRig存在强关联性：恶意软件功能设计与OilRig标志性后门RDAT高度相似，攻击基础设施存在重叠，战术目标均聚焦中东地缘政治情报收集。据此评估，BladedFeline极可能为OilRig组织的战术子单元。 该组织活动呈现持续进化态势： ① 时间跨度：最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透 ② 目标扩展：从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商 ③ 技术迭代：从基础后门发展为模块化、高隐蔽性攻击框架 ④ 最新动态：2024年初仍检测到新版恶意工具活跃 ESET警告称：“从简单后门到模块化潜伏工具的技术转型，印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序，以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级，在区域情报收集中构建更隐蔽的作战能力。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名伊朗籍公民在美国联邦法院承认参与运营Robbinhood勒索软件团伙，该组织通过一系列勒索攻击瘫痪了全美多个市政厅、医院及私营企业系统。司法部表示，Sina Gholinejad于本周二对计算机欺诈与电信欺诈共谋罪认罪，承认与同伙入侵数十个网络，使用Robbinhood恶意软件加密数据并勒索比特币赎金。Gholinejad将于8月宣判，最高面临30年监禁。 Robbinhood最臭名昭著的攻击是2019年5月针对巴尔的摩市的入侵事件，迫使市政部门切断数百台电脑网络连接，导致水费、房产税及停车费在线支付系统瘫痪。巴尔的摩市最终耗费超1900万美元用于系统恢复与弥补收入损失，北卡罗来纳州、俄勒冈州、纽约州及新泽西州也有其他受害者。 检方指出，Robbinhood团伙采用类似现代勒索软件即服务（RaaS）的运营模式，其犯罪活动可追溯至2019年初。攻击者在受害机构留下勒索信，引导受害者通过Tor暗网平台协商赎金，要求以比特币支付。司法部透露，赎金到账后，该团伙通过混币器与其他加密货币进行“链跳”操作隐匿资金流向，并利用多层VPN掩盖登录痕迹。 美国检察官丹尼尔·布巴尔表示：“网络犯罪并非无受害者的罪行，这是对我们社区的定向攻击。Gholinejad及其同伙策划的勒索计划扰乱民生、企业及地方政府运作，导致受害者和机构蒙受数千万美元损失。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文