“ 网络战。”
PS:有内网web自动化需求可以私信
01
—
导语
近年来,伊朗国家支持的黑客组织频繁针对中东地区关键基础设施(CNI)发起网络攻击,其攻击手段隐蔽且持久。最新研究表明,通过VPN漏洞和定制化恶意软件,部分伊朗黑客组织已在中东能源、国防、通信等领域维持了长达两年的网络访问权限,严重威胁地区安全。
一、攻击手法:从漏洞利用到多阶段渗透
-
VPN漏洞作为初始突破口
黑客组织常利用未修复的VPN漏洞(如CVE-2019-0604等)或弱口令攻击,获取目标网络的初始访问权限。例如,APT34(OilRig)通过入侵存在漏洞的Web服务器上传Web Shell,进而部署恶意工具并提升权限。另一组织UNC1549则利用社会工程手段诱导目标下载伪装成合法文件的恶意软件,结合Microsoft Azure云基础设施隐藏活动。
-
定制化恶意软件实现长期潜伏
-
MINIBIKE与MINIBUS后门:UNC1549组织使用这两款恶意软件窃取文件、执行远程命令,并通过LIGHTRAIL隧道技术掩盖数据外传。
-
无文件框架Liontail:伊朗顶尖间谍组织Scarred Manticore利用无文件恶意软件长期窃取高价值目标的邮件数据,潜伏期可超一年。
-
破坏性攻击阶段
当冲突升级时,黑客会从间谍活动转向破坏。例如,Void Manticore组织通过手动删除文件、擦除磁盘分区表,甚至利用Telegram发起舆论战,导致40余某机构的运营瘫痪。
二、组织协作:间谍与破坏的“双拳模式”
伊朗黑客组织展现出高度分工与合作模式:
-
Scarred Manticore与Void Manticore的“交接”:前者负责长期渗透并移交权限,后者则利用简单工具(如RDP横向移动)发动破坏。两者受害者高度重叠,形成“间谍-破坏”的完整链条。
-
APT34与FOX Kitten的勒索软件联动:趋势科技发现,APT34与另一伊朗组织FOX Kitten存在技术关联,可能将勒索软件纳入攻击武器库,进一步扩大破坏范围。
三、目标行业与地缘政治动机
-
重点攻击领域
-
能源与国防:APT34多次针对阿联酋及海湾国家的石油、天然气设施,意图通过破坏关键系统引发区域性危机。
-
航空航天与通信:UNC1549的目标涵盖以色列航运公司、美国国防承包商及中东电信运营商,试图窃取敏感技术数据。
-
政治与报复驱动
攻击活动常与地缘冲突同步。例如,以色列与哈马斯冲突期间,伊朗黑客加大对以色列防务企业的攻击,并高调宣称此为“对苏莱曼尼遇刺的报复”。
四、防御建议:从源头阻断长期渗透
-
修补已知漏洞:如微软SharePoint漏洞(CVE-2019-0604)等历史漏洞仍是主要入口,需定期更新补丁。
-
强化身份验证:对VPN等远程访问系统实施多因素认证(MFA),减少弱口令风险。
-
监控异常流量:警惕Azure等云服务的非常规使用,检测LIGHTRAIL类隧道工具的隐蔽通信。
-
端点防护与行为分析:部署EDR解决方案,识别无文件恶意软件及手动擦除行为。
结语
伊朗黑客的长期渗透揭示了关键基础设施面临的严峻威胁。防御者需转变思维:攻击者可能已潜伏数月,而破坏只需一瞬间。唯有通过主动防御、协同情报共享,才能在这场“不对称网络战争”中守住防线。
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
原文始发于微信公众号(道玄网安驿站):伊朗黑客持续渗透中东关键基础设施:VPN漏洞与恶意软件成长期后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论