巴以沖突持續(xù)發(fā)酵，戰(zhàn)場形勢愈演愈烈，在網(wǎng)絡(luò)空間中的交火也一直未停止，雙方的支持者都在互相進(jìn)行網(wǎng)絡(luò)攻擊表達(dá)自己的立場。

近期，研究人員發(fā)現(xiàn)各路攻擊者持續(xù)使用各種惡意軟件（如 Redline Stealer 與 PrivatedLoader 等）針對以色列平民、企業(yè)與關(guān)鍵實(shí)體進(jìn)行攻擊，造成了大量的數(shù)據(jù)泄露與相關(guān)服務(wù)的中斷。這些黑客組織大都十分高調(diào)宣布自己的攻擊行為，并且將竊取的數(shù)據(jù)對外公開，造成了巨大的損失。

Haghjhoyan

組織Logo

對以色列公用設(shè)施的襲擊

2023 年 10 月 15 日至 19 日間，該組織持續(xù)發(fā)布攻擊信息與數(shù)據(jù)泄密信息。該組織聲稱已經(jīng)入侵了超過 1000 臺以色列計(jì)算機(jī)，并表示“這是巴勒斯坦兒童送給以色列黑客與混蛋人民的禮物”。

對以色列公眾的襲擊

根據(jù) Haghjhoyan 在 Telegram 頻道中分享的屏幕截圖，分析人員推測攻擊者使用社會工程學(xué)誘餌誘使受害者下載并執(zhí)行惡意軟件。截圖中引人注目的文件名有：

• Frosty Mod Manager 1.0.6.0 (Beta 4) (FIFA 19)
• Subinfeudated Oat.exe
• Default-Dark-Mode-1.20-2023.6.0.zip

這些文件與游戲有關(guān)，例如 FIFA 與 Minecraft。從攻擊者共享的數(shù)據(jù)來看，攻擊者以游戲?yàn)檎T餌，通過 Discord、Whatsapp 與 Telegram 等社交媒體進(jìn)行投遞。攻擊者通過免費(fèi)的游戲模組，針對 Roblox、Minecraft 與 FIFA 等受歡迎的游戲的目標(biāo)用戶，針對普通人進(jìn)行攻擊。

文件 IL-ISRAEL-25PCS-2023.rar 中包含日志格式的數(shù)據(jù)，意味著攻擊者可能使用 Redline Stealer 等惡意軟件。

日志與 Redline Stealer 有關(guān)

攻擊者泄露的另一張截圖，可以根據(jù)運(yùn)行的文件名為 SHA-1 哈希值（0b0123d06d46aa035e8f09f537401ccc1ac442e0）查找到樣本文件。該文件是 2019 年 Redline Stealer 公開的樣本文件，并不是本次攻擊行動所獨(dú)有的。

運(yùn)行的樣本文件

Haghjhoyan 屏幕截圖中，有線索表明攻擊者也使用了名為 PrivateLoader 等惡意軟件。

Subinfeudated Oat 惡意軟件

上圖為 PrivateLoader 的一個樣本文件，這是一種商業(yè)惡意軟件，通常用于下載和啟動其他惡意軟件 Payload。攻擊者通過這種方式繞過安全檢測，其他的 Loader 也是如此，例如 Smoke Loader。

通過這兩個樣本文件，分析人員發(fā)現(xiàn)攻擊者針對以色列使用 PrivateLoader 和 Redline Stealer 進(jìn)行攻擊。Haghjhoyan 積極通過 Redline 進(jìn)行數(shù)據(jù)竊取，并且在 2023 年 10 月 24 日將 Telegram 頻道轉(zhuǎn)為私有。

Soldiers of Solomon

組織Logo

名為 Soldiers of Solomon 的黑客組織也針對以色列的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了大量攻擊，該組織聲稱定制開發(fā)了名為 Crucio 的勒索軟件。2023 年 10 月 18 日，Soldiers of Solomon 通過 BreachForums 論壇宣布攻擊開始。

勒索軟件攻擊宣言

Soldiers of Solomon 通過公開的 Telegram 頻道發(fā)布了攻擊宣言：“Soldiers of Solomon 已經(jīng)完全控制了 Nevatim 軍事控制區(qū)的 50 多臺服務(wù)器、安全攝像頭與智能城市管理系統(tǒng)，并且通過定制的 Crucio 勒索軟件竊取了高達(dá) 25TB 的數(shù)據(jù)”。

攻擊者將部分?jǐn)?shù)據(jù)上傳到 MediaFire，如下所示：

證明信息

這些截圖中大部分都是 Windows 系統(tǒng)，其中包含一個該組織定制的、包含反以色列的信息：

失陷主機(jī)截圖

從截圖中可以看出，文檔的文件名為 ref.jpg：

圖片文件

分析人員仍然在分析 Curcio 勒索軟件，完整的信息尚未披露。攻擊組織重新開發(fā)現(xiàn)有的惡意軟件構(gòu)建工具，再次進(jìn)行攻擊也并非完全不可能。

Cyb3r Drag0nz Team

組織Logo

Cyb3r Drag0nz Team 是一個黑客組織，經(jīng)常發(fā)起 DDoS 攻擊或者參與網(wǎng)絡(luò)攻擊進(jìn)行數(shù)據(jù)竊取。該組織因?yàn)獒槍σ陨邪l(fā)起攻擊而備受贊揚(yáng)，包括以色列空軍官方網(wǎng)站都被該組織進(jìn)行 DDoS 攻擊。

該組織發(fā)布了多個 RAR 壓縮文件，聲稱已經(jīng)竊取并泄露了超過 100 萬以色列人的個人信息。該組織廣泛利用各種社交媒體宣布攻擊目標(biāo)與入侵行動，例如 Instagram、Twitter、Telegram 以及 Facebook 和 Youtube 等。

泄露6000名以色列公民信息

最近，該組織在 Telegram 頻道中宣布已經(jīng)竊取超過 100 萬以色列人的個人信息。

泄露信息

該組織發(fā)布的壓縮文件 Israel Leaked By Cyb3r Drag0nz Team.rar 中，一些已經(jīng)被其他組織泄露過，有一些則是新的數(shù)據(jù)。

披露的文件

結(jié)論

本輪巴以沖突持續(xù)發(fā)酵，各路黑客組織也持續(xù)活躍。盡管這些黑客組織的規(guī)模相對較小，但持續(xù)不斷提高自己的攻擊技術(shù)水平。每一次成功的攻擊，都會將普通人置于危險(xiǎn)之中。這些黑客組織的成熟度與能力相對較差，攻擊者也需要依賴 Redline 與 PrivateLoader 等成熟的工具，攻擊者定制化開發(fā)的能力并不高。