分析围绕中东冲突的网络活动

介绍

鉴于中东局势持续升级，IB 集团威胁情报该部队一直在监测参与网络空间冲突的不同威胁行为者的活动。

正如在2022/2023 年高科技犯罪趋势报告指出，任何政治紧张局势的加剧或敌对行动的爆发几乎总是伴随着黑客活动的增加，当前冲突的升级也不例外。

Group-IB 研究人员一直密切关注在持续的军事行动背景下数字空间发生的重大发展，并定期提供有关黑客行动和其他值得注意的网络威胁的最新信息。Threat Intelligence X（以前称为 Twitter）帐户。他们所有与冲突相关的发现都附有标签#CTI_ISRPAL 

现在，敌对行动升级一周后，Group-IB 能够提供迄今为止主要威胁趋势的概述，以及组织为保护自己免受潜在攻击而可以采取的步骤的建议。

第一周总结（2023 年 10 月 7 日至 15 日）

• Telegram 频道已成为黑客活动自我协调的主要平台
• Group-IB 研究人员发现了 10 月 7 日至 15 日期间发生的超过740 起DDoS 和网站篡改攻击，这些攻击得到了中等可信度的确认
• 主要目标包括政府网站、银行和金融部门、电信公司、IT 公司、媒体机构和零售组织
• 一些黑客活动分子试图通过发布过去攻击的数据并将其伪装成最近的攻击来引起炒作，以吸引注意力
• 高级持续威胁行为者和勒索软件组织尚未公开露面，但这很可能只是时间问题

黑客活动分子通过 DDoS、篡改攻击引起关注

随着 10 月 7 日冲突爆发，黑客活动分子成为最先采取行动的人之一。其中许多团体通常包含技术专业知识有限的个人网络犯罪分子，他们在各种平台（包括 Telegram、IRC、论坛、Discord 和 Twitter）上协调他们的攻击，以及他们能够发起的攻击量以及他们的规模。社区，显着扩大其影响。

总体而言，黑客活动分子发起两种特定类型的攻击：网站篡改和分布式拒绝服务 (DDoS) 攻击。

为此，第一步是识别目标中的潜在漏洞，这些目标通常包括主要政府、媒体和金融组织。他们编译与目标国家/地区相关的所有自治系统编号 (ASN)，并扫描每个 IP 地址，目的是发现任何可能的资产 – 无论是数据库、特定漏洞还是任何其他可利用的元素。Group-IB 的威胁情报研究人员在他们最近的博客中更详细地描述了这种作案手法孟加拉国神秘队。

尽管通过Telegram协调网络攻击并不是什么新鲜事，但在持续的冲突期间，该平台的使用有所增加，因为它为黑客活动分子提供了匿名性和快速通信。除此之外，黑客活动分子呼吁盟友发起攻击变得更加容易。他们在那里识别目标和支持他们的其他黑客，也加入攻击并寻找受害者系统中的漏洞。

在分析了多个黑客活动分子的 Telegram 频道后，Group-IB 的威胁情报部门能够以中等信心确认该组织在 10 月 7 日至 15 日期间完成了超过 740 起 DDoS 和网站篡改攻击。这项研究是由真实的time Telegram 监控功能Group-IB 的威胁情报平台。

在大多数情况下，黑客活动分子会在 Telegram 频道中分享他们的成功经验，并提供用于检查网站可用性（例如Check-host）或设备站点档案（例如Zone-H或Mirror-h）的在线工具的链接。有了这些信息，就可以有一定把握地评估，在他们发布此信息时，主机的可用性已被中断。

上图 1 中的数据表明，黑客活动分子实施的破坏(405)比 DDoS 攻击(343)略多。此外，黑客活动在10 月 9 日达到顶峰，当时登记了208 起攻击。

监控这些网络犯罪分子及其发布的信息至关重要，例如特定目标列表或直接 IP 地址（而不是简单域），这可能会放大 DDoS 攻击的损害，并为更复杂和更全面的攻击奠定基础。

这场冲突期间黑客活动的其他主要趋势包括对政府网站和 IT 公司的攻击有所增加。其他主要目标包括银行和金融部门、电信公司、媒体机构和零售组织。

验证的重要性

在政治和军事升级时期，虚假信息和相互矛盾的叙述经常在网上传播。确定黑客攻击的成功率可能具有挑战性，因为声明可能并不总是反映现实。它通常需要彻底的监控和攻击后分析。

Group-IB 的威胁情报分析师上周驳斥了此类说法。10 月 8 日，名为Cyber​​ Av3ngers的黑客组织的 Telegram 频道中出现了一些帖子。在这些消息中，成员声称已成功渗透并从Dorad 发电厂的系统中提取文件（图 2）。

Group-IB 专家对 Cyber​​ Av3ngers 发布的信息进行了彻底分析，发现声称在最近的一次攻击中被盗的材料实际上与勒索软件组织 Moses Staff 在 2022 年窃取并上传到的数据相同。他们的网站（图 3）。

Group-IB 研究人员指出，Moses Staff 网站上不再提供 Dorad 数据，但在几个 Telegram 群组中发现了这些文件的副本。

这个案例研究有力地提醒我们，在持续的冲突中需要对假货保持警惕。一定要遵守Group-IB 的威胁情报 X（以前称为 Twitter）源了解与这场冲突相关的网络威胁以及更广泛的全球威胁格局的最新信息。

黑客活动分子通常与进行小规模 DDoS 攻击和破坏有关。然而，正如持续不断的冲突所表明的那样，他们的行动可能更具破坏性且代价更高。作为全面威胁情报计划的一部分，必须绘制并适当降低黑客行动主义的风险。

建议

DDoS 攻击：

• 检查您是否有反 DDoS 保护并确保立即启用。
• 多元化提供商：使用多个 ISP 或云提供商来确保冗余。如果有人受到攻击，你可以求助于其他人。
• 上游过滤：一些 ISP 提供流量过滤功能，在恶意流量到达您的网络之前将其阻止。
• 扩展资源：准备好自动扩展资源以应对流量高峰。如果您使用提供自动缩放的云服务，这会更容易。
• 速率限制：设置用户在特定时间范围内可以发送的请求数量的阈值
• 如果您面临针对 Web 应用程序的 L7 DDoS 攻击，并且当前提供商存在问题，请检查您的组织是否有机器人保护就位。
• 实施地理围栏，以在面临攻击时阻止关键应用程序的非区域相关 IP 访问。
• 使用黑名单和白名单。
• 保存DDoS攻击期间的日志：有关攻击的技术信息经过深入分析后可以显着提高您的检测和防御能力。此外，它还为进一步研究提供了宝贵的见解。

污损：

• 定期备份：在现场和异地存储备份，以确保您可以在网站遭到破坏后快速恢复。
• 确保您的内容管理系统 (CMS) 无法通过互联网访问，并且定期更新到最新版本。更新所有插件、主题和扩展。过时的插件可能是攻击的常见媒介。
• 定期更新Web 服务器后端软件，以防止常见 CVE 被利用。
• Web 应用程序防火墙 (WAF)：配置 WAF 来检查传入流量、阻止恶意请求和利用漏洞的尝试。
• 开始搜索面向公众的影子 IT 资产，以发现可被威胁行为者利用的潜在漏洞。我们推荐的解决方案例如攻击面管理。
• 通过禁用未使用的不必要的服务并且不要使用默认 URL进行登录或管理面板来限制您的暴露。
• 地下市场的出现简化了潜在入侵者（包括黑客活动分子）的攻击过程。这些非法市场提供预先受损的 CMS 访问权限或 Web shell，从而使攻击者无需自行破坏这些系统。使用威胁情报平台获取有关可能出售的任何未经授权的访问的信息。它可以先发制人潜在的威胁活动，在其他恶意行为者购买和利用此访问权限之前消除风险。
• 在攻击的活跃阶段实施地理围栏。

数据泄露：

• 加强密码政策。确保定期更新密码，并且不会重复使用旧的或相同的密码。我们不仅应该建立强大的密码策略，还应该定期更新它们，以领先于不断变化的威胁和安全最佳实践。员工培训和这些政策的执行对于确保合规性和数据安全同样重要。