巴以沖突持續(xù)發(fā)酵，戰(zhàn)場(chǎng)形勢(shì)愈演愈烈，在網(wǎng)絡(luò)空間中的交火也一直未停止，雙方的支持者都在互相進(jìn)行網(wǎng)絡(luò)攻擊表達(dá)自己的立場(chǎng)。

近期，研究人員發(fā)現(xiàn)各路攻擊者持續(xù)使用各種惡意軟件（如 Redline Stealer 與 PrivatedLoader 等）針對(duì)以色列平民、企業(yè)與關(guān)鍵實(shí)體進(jìn)行攻擊，造成了大量的數(shù)據(jù)泄露與相關(guān)服務(wù)的中斷。這些黑客組織大都十分高調(diào)宣布自己的攻擊行為，并且將竊取的數(shù)據(jù)對(duì)外公開(kāi)，造成了巨大的損失。

Haghjhoyan

組織Logo

對(duì)以色列公用設(shè)施的襲擊

2023 年 10 月 15 日至 19 日間，該組織持續(xù)發(fā)布攻擊信息與數(shù)據(jù)泄密信息。該組織聲稱(chēng)已經(jīng)入侵了超過(guò) 1000 臺(tái)以色列計(jì)算機(jī)，并表示“這是巴勒斯坦兒童送給以色列黑客與混蛋人民的禮物”。

對(duì)以色列公眾的襲擊

根據(jù) Haghjhoyan 在 Telegram 頻道中分享的屏幕截圖，分析人員推測(cè)攻擊者使用社會(huì)工程學(xué)誘餌誘使受害者下載并執(zhí)行惡意軟件。截圖中引人注目的文件名有：

• Frosty Mod Manager 1.0.6.0 (Beta 4) (FIFA 19)
• Subinfeudated Oat.exe
• Default-Dark-Mode-1.20-2023.6.0.zip

這些文件與游戲有關(guān)，例如 FIFA 與 Minecraft。從攻擊者共享的數(shù)據(jù)來(lái)看，攻擊者以游戲?yàn)檎T餌，通過(guò) Discord、Whatsapp 與 Telegram 等社交媒體進(jìn)行投遞。攻擊者通過(guò)免費(fèi)的游戲模組，針對(duì) Roblox、Minecraft 與 FIFA 等受歡迎的游戲的目標(biāo)用戶(hù)，針對(duì)普通人進(jìn)行攻擊。

文件 IL-ISRAEL-25PCS-2023.rar 中包含日志格式的數(shù)據(jù)，意味著攻擊者可能使用 Redline Stealer 等惡意軟件。

日志與 Redline Stealer 有關(guān)

攻擊者泄露的另一張截圖，可以根據(jù)運(yùn)行的文件名為 SHA-1 哈希值（0b0123d06d46aa035e8f09f537401ccc1ac442e0）查找到樣本文件。該文件是 2019 年 Redline Stealer 公開(kāi)的樣本文件，并不是本次攻擊行動(dòng)所獨(dú)有的。

運(yùn)行的樣本文件

Haghjhoyan 屏幕截圖中，有線(xiàn)索表明攻擊者也使用了名為 PrivateLoader 等惡意軟件。

Subinfeudated Oat 惡意軟件

上圖為 PrivateLoader 的一個(gè)樣本文件，這是一種商業(yè)惡意軟件，通常用于下載和啟動(dòng)其他惡意軟件 Payload。攻擊者通過(guò)這種方式繞過(guò)安全檢測(cè)，其他的 Loader 也是如此，例如 Smoke Loader。

通過(guò)這兩個(gè)樣本文件，分析人員發(fā)現(xiàn)攻擊者針對(duì)以色列使用 PrivateLoader 和 Redline Stealer 進(jìn)行攻擊。Haghjhoyan 積極通過(guò) Redline 進(jìn)行數(shù)據(jù)竊取，并且在 2023 年 10 月 24 日將 Telegram 頻道轉(zhuǎn)為私有。

Soldiers of Solomon

組織Logo

名為 Soldiers of Solomon 的黑客組織也針對(duì)以色列的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了大量攻擊，該組織聲稱(chēng)定制開(kāi)發(fā)了名為 Crucio 的勒索軟件。2023 年 10 月 18 日，Soldiers of Solomon 通過(guò) BreachForums 論壇宣布攻擊開(kāi)始。

勒索軟件攻擊宣言

Soldiers of Solomon 通過(guò)公開(kāi)的 Telegram 頻道發(fā)布了攻擊宣言：“Soldiers of Solomon 已經(jīng)完全控制了 Nevatim 軍事控制區(qū)的 50 多臺(tái)服務(wù)器、安全攝像頭與智能城市管理系統(tǒng)，并且通過(guò)定制的 Crucio 勒索軟件竊取了高達(dá) 25TB 的數(shù)據(jù)”。

攻擊者將部分?jǐn)?shù)據(jù)上傳到 MediaFire，如下所示：

證明信息

這些截圖中大部分都是 Windows 系統(tǒng)，其中包含一個(gè)該組織定制的、包含反以色列的信息：

失陷主機(jī)截圖

從截圖中可以看出，文檔的文件名為 ref.jpg：

圖片文件

分析人員仍然在分析 Curcio 勒索軟件，完整的信息尚未披露。攻擊組織重新開(kāi)發(fā)現(xiàn)有的惡意軟件構(gòu)建工具，再次進(jìn)行攻擊也并非完全不可能。

Cyb3r Drag0nz Team

組織Logo

Cyb3r Drag0nz Team 是一個(gè)黑客組織，經(jīng)常發(fā)起 DDoS 攻擊或者參與網(wǎng)絡(luò)攻擊進(jìn)行數(shù)據(jù)竊取。該組織因?yàn)獒槍?duì)以色列發(fā)起攻擊而備受贊揚(yáng)，包括以色列空軍官方網(wǎng)站都被該組織進(jìn)行 DDoS 攻擊。

該組織發(fā)布了多個(gè) RAR 壓縮文件，聲稱(chēng)已經(jīng)竊取并泄露了超過(guò) 100 萬(wàn)以色列人的個(gè)人信息。該組織廣泛利用各種社交媒體宣布攻擊目標(biāo)與入侵行動(dòng)，例如 Instagram、Twitter、Telegram 以及 Facebook 和 Youtube 等。

泄露6000名以色列公民信息

最近，該組織在 Telegram 頻道中宣布已經(jīng)竊取超過(guò) 100 萬(wàn)以色列人的個(gè)人信息。

泄露信息

該組織發(fā)布的壓縮文件 Israel Leaked By Cyb3r Drag0nz Team.rar 中，一些已經(jīng)被其他組織泄露過(guò)，有一些則是新的數(shù)據(jù)。

披露的文件

結(jié)論

本輪巴以沖突持續(xù)發(fā)酵，各路黑客組織也持續(xù)活躍。盡管這些黑客組織的規(guī)模相對(duì)較小，但持續(xù)不斷提高自己的攻擊技術(shù)水平。每一次成功的攻擊，都會(huì)將普通人置于危險(xiǎn)之中。這些黑客組織的成熟度與能力相對(duì)較差，攻擊者也需要依賴(lài) Redline 與 PrivateLoader 等成熟的工具，攻擊者定制化開(kāi)發(fā)的能力并不高。