与伊朗有关的威胁行为者针对以色列超过300个Microsoft 365组织发起密码喷洒攻击,阿联酋25个以上也中招。 Check Point研究显示,这次攻击分三波展开,分别在2026年3月3日、13日和23日动手。攻击者先用Tor出口节点疯狂扫描或喷洒密码,然后登录窃取邮箱内容。受害者多为以色列和阿联酋的政府机构、市政部门、科技、交通、能源企业和私企。链上日志分析指向Gray Sandstorm这类伊朗黑客团伙,他们过去就爱用这招绕过速率限制。欧洲、美国、英国和沙特也有零星目标被盯上。攻击路径清晰:先喷密码找弱口令,再用红队工具从Tor进门,最后拉数据走人。Check Point点名,攻击者还借了AS35758的商业VPN节点,这和中东伊朗系行动对得上号。
以色列这些组织用Microsoft 365云服务,本以为安全,结果弱密码成软肋。密码喷洒这活儿简单粗暴:挑常见密码,对海量用户名轮番试,避免单IP被锁。伊朗黑客Peach Sandstorm和Gray Sandstorm早玩儿过这套,Check Point日志比对,工具和Tor用法高度吻合。以色列组织登录日志里,异常尝试蹭蹭上涨。攻击者不光喷,还顺手拉敏感邮件。想想中东冲突正烈,这波操作像在火上浇油。The Hacker News报道,这活动还在继续,欧洲美英沙特零星受害说明野心不小。防护上,Check Point直球建议:盯紧登录日志,限地理位置访问,全员上MFA,审计日志留后手查。弱密码时代,MFA是硬门槛,喷再多也白搭。
伊朗不止这一手,Pay2Key勒索团最近也复活。2月底,美国一家医疗机构遭殃,这团伙跟伊朗政府有勾连,Fox Kitten的马甲。Beazley和Halcyon报告,这次用升级版变种,2025年7月后优化了绕检、执行和反取证。入侵路径不明,但用TeamViewer站稳脚,偷凭证横移,假装第三方杀软骗过微软Defender,停服务删日志,最后丢赎金便条。Halcyon说,他们改成末尾清日志,连自家痕迹都抹。Pay2Key去年卷土重来,给 affiliates 80%分成,专怼伊朗敌人。一个月后,Linux版冒头,Morphisec抓到样品:要root权,ChaCha20加密全盘或部分,先杀进程关SELinux AppArmor,加开机cron。3月,Halcyon爆料,Sicarii管理员Uke推Baqiyat 313 Locker给亲伊操盘手,这玩意儿亲巴勒斯坦,2025年7月起打阿联酋、美国、以色列。伊朗用黑客报复政治恩怨,勒索软件从犯罪变国家破坏工具。