【安全头条】伊朗黑客滥用Dropbox攻击航空和电信公司

第132期

你好呀~欢迎来到“安全头条”，站长小安将为大家奉上新鲜、实时、有趣的安全热点。在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢迎底部提出建议哦！

1、Donot组织利用间谍软件

攻击多哥人权活动家

国际特赦组织调查发现，多哥宗教和反对派政治人物已成为Donot黑客组织攻击目标，不法黑客通过网络攻击等手段窃取受害者信息后，将这些个人隐私数据出售给私人客户。

据悉，Donot黑客组织利用虚假的Android应用程序，以及携带间谍软件的电子邮件，瞄准多哥宗教和反对派政治人物等人权捍卫者，试图非法监视目标人群。目标人群的电子设备在2019年12月至2020年 1月期间成为攻击目标，当时正值 2020 年多哥总统大选前的紧张政治环境。

2、政治背景黑客组织Indra

攻击伊朗铁路网络

前不久，伊朗的铁路基础设施遭到网络攻击。不法黑客在伊朗全国各地车站的信息板上展示有关火车延误或取消的信息，并敦促乘客拨打特定电话号码以获取更多信息。然而显示的联系电话，实际为该国最高领导人阿亚图拉阿里哈梅内伊的办公室。

事发后，伊朗道路和城市化部网站停止服务，而不法黑客“犯罪现场”的照片被媒体披露在社交媒体。从不法黑客留下的信息来看，其公开表示了对伊朗铁路公司、道路和城市发展部的计算机系统进行了网络攻击。

安全人员对此次攻击展开调查后发现，此次网络攻击疑似源自一个名为“Indra”，拥有鲜明政治倾向性的黑客组织。该组织自2019年发现以来，曾多次对叙利亚等国目标进行网络攻击活动。

3、以色列国防公司E.M.I.T.

航空公司遭遇勒索攻击

近日，以色列航空航天与国防公司EMIT Aviation Consulting Ltd.遭遇LockBit 2.0勒索软件攻击，该勒索软件幕后运营商将于2021年10月7日泄露相关加密数据。据悉，袭击以色列航空航天与国防公司 EMIT Aviation Consulting Ltd，后，该勒索软件幕后运营商公开宣称已窃取相关数据，并威胁称如不支付赎金，将在暗网泄露窃取到的相关数据。

目前尚不清楚攻击者如何破坏了以色列航空航天与国防公司EMIT Aviation Consulting Ltd.的网络，以及何时发生的网络攻击活动。

LockBit勒索软件团伙自2019年9月活跃以来，今年6月宣布推出 LockBit 2.0 RAAS版本。最近的受害者名单包括 Riviana、Wormington & Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm 和全球其他数十家公司。

4、ChamelGangAPT瞄准

俄罗斯的能源和航空公司

安全公司Positive Technologies近日首次发现了一家名为ChamelGang的APT组织，该组织通常利用微软、趋势科技、迈克菲、IBM和谷歌的合法服务下，伪装其恶意软件和网络基础设施。

该组织模仿使用的合法域名涉及newtrendmicro.com、centralgoogle.com、microsoft-support.net、cdn-chrome.com、mcafee-upgrade.com等，通常还会在其模仿的合法域名服务器上安装了SSL证书，如github.com 、www.ibm.com、jquery.com、update.microsoft-support.net等。

3月以来，该组织持续利用ProxyShell攻击10个国家/地区的目标，并在其活动中使用了各种恶意软件。现阶段，该组织通过利用 Microsoft Exchange ProxyShell问题等已知漏洞，以及一组新的恶意软件，瞄准俄罗斯能源航空公司等组织目标网络窃取敏感信息。

5、伊朗黑客滥用Dropbox

攻击航空和电信公司

近日，有关针对航空航天和电信行业的新型网络间谍活动的详细信息浮出水面。据悉，此次事件主要针对中东地区，其目标多以窃取有关关键资产、组织基础设施和技术的敏感信息。

在网络攻击归因调查中，相关安全研究人员发现了一个名为MalKamak的伊朗背景黑客，其可能是与其他伊朗国家支持的APT威胁有关Chafer APT（又名 APT39）和Agrius APT等幕后人员一同冒充勒索软件运营商，以掩盖针对以色列实体的一系列数据擦除黑客攻击的来源。