伊朗支持的黑客组织Handala Hack Team干了件大事。 他们成功攻破美国联邦调查局局长Kash Patel的个人邮箱。 黑客在自家网站上炫耀,把一堆照片和文件全甩上网。Patel的名字进了他们的“战绩榜”。FBI对路透社确认,邮箱确实中招。公司已采取措施降低风险。泄露数据全是历史旧货,2010年到2019年的邮件,没涉及政府机密。 Handala Hack是伊朗情报安全部MOIS的马甲。网络安全圈叫它Banished Kitten、Cobalt Mystique、Red Sandstorm或Void Manticore。从2022年中起,他们还用Homeland Justice这个壳子针对阿尔巴尼亚。Karma则是另一个旧身份,2023年底基本换成Handala。StealthMole挖出他们的在线足迹,从聊天平台到BreachForums,再到表面网域名、Tor服务和MEGA文件托管。层层伪装。Check Point本月报告说,手法老一套:盯IT服务商,偷VPN账号当跳板。几个月来,数百次登录和暴力破解痕迹,全指向Handala的服务器。 攻击升级狠辣。用RDP横向移动,丢Handala Wiper和Handala PowerShell Wiper,通过组策略脚本执行。还拉VeraCrypt加密盘,恢复数据难上加难。Flashpoint点明,这帮人图破坏和心理战。行动总赶在地缘热点上,专挑有象征意味的目标。 Stryker躺枪。Handala宣称删光公司海量数据,wiper上千员工设备。这是头一遭针对美国500强企业的破坏性wiper。Stryker官网更新:事件已控制。快速切断入侵,拆掉持久机制。只限于内部微软环境。恶意文件藏命令,没网络传播力。Palo Alto Unit 42分析,主入口是钓鱼偷身份,加上微软Intune管理员权限。Hudson Rock发现,infostealer偷的微软凭证派上用场。微软和CISA赶紧发指南:最小权限、钓鱼抵抗MFA、Intune敏感变更需多管理员批。Flashpoint警告,这波供应链威胁危险,医疗生态全链条遭殃。 回溯起因。美国扣4个MOIS域名:justicehomeland[.]org、handala-hack[.]to、karmabelow80[.]org、handala-redwanted[.]to。司法部说,这些域名搞心理战,冒领黑客功劳,贴敏感数据,号召杀记者、异见者和以色列人。泄露以色列国防军和政府关联190人名单,外加Sanzer Hasidic犹太社区851GB机密。还有handala_team@outlook[.]com发死亡威胁给伊朗异见者和美驻记者。FBI悬赏1000万美元抓人。 Handala卷土重来。新域名handala-team[.]to,骂美国扣域是“绝望封口”。FBI另发警报:他们用社交工程,在消息App假装Pictory、KeePass、Telegram或WhatsApp推Windows恶意软件。Telegram当C2,混正常流量躲检测。Zoom开会时,还录屏录音频。目标直指伊朗异见、反对派和记者。收集情报,泄数据,毁名声。 冲突推波助澜。DDoS、网站篡改、黑客泄密瞄准以色列和西方。Nasir Security新冒头,盯中东能源供应链,雇伊朗雇佣兵干工程、安全、建筑商。Flashpoint情报主管Kathryn Raines直言,活动分散破坏力强。Handala和Fatimion这类,用合法管理工具,传统防御难挡。 伊朗情报还搭上犯罪生态。Handala融Rhadamanthys stealer。MuddyWater用Tsundere机器人网(Dindoor)和Fakeset下CastleLoader。Check Point说,双赢:借成熟工具和基础设施,模糊归因,搅浑分析池。加密市场倒稳,BTC现报$66,875(24h +1.43%),ETH $2,024(24h +1.92%)。地缘火药味浓,cyber战场更乱。