E安全10月9日讯 伊朗黑客此前攻击沙特阿拉伯的组织机构，现如今将目标瞄向其它国家，包括美国，这项黑客行动被认定为“OilRig行动”（OilRig Campaign）。

除了扩大攻击范围，该黑客组织持续改进软件工具。Palo Alto Networks的研究人员监视该组织一段时间，并报告称，观察到威胁攻击者对沙特阿拉伯的金融机构、技术公司以及国防行业发起攻击。这项行动被称为“OilRig”。经过追踪，该公司发现武器化Microsoft Excel电子表格名为 “Clayslide”，后门被称为“Helminth”。

5月，安全公司“火眼”（FireEye）分析并证明该黑客组织曾对银行发起攻击。Security Week报道称，Palo Alto Networks发现该黑客组织还攻击了卡塔尔一家企业和美国、以色列和土耳其的政府机构。

OilRig的威胁攻击者通过鱼叉式网络钓鱼电子邮件和启用宏的恶意Excel文件散播Helminth。例如，就拿土耳其某政府机构来说，这类Excel文件专门用来复制某航空公司的登录门户。

Helminth恶意软件存在4个变种，能通过HTTP和DNS与C&C服务器通信，可以获取被感染设备上的信息，并通过远程服务器下载其它文件。Helminth恶意软件的其中一个类型依赖VBScript和PowerShell脚本；另一个作为可执行文件进行部署—该类型通过名为“HerHer”木马传送，能记录击键。

PaloAlto Networks发布的报告指出，“这个Zip文档通过未知密码加密，但我们知道其包含名为oboffer.chm和thumb.db的两个文件。humb.db文件的名称和文件大小（368128字节）与安装已知Helminth 可执行样本的HerHer木马一致（SHA256: fb424443ad3e27ef535574cf7e67fbf9054949c48ec19be0b9ddfbfc733f9b07）。”

至于威胁攻击者的归属地，研究人员已经找到多条线索，其结果指向伊朗个体—虽然研究人员承认数据很容易伪造。Palo Alto Networks一直在监视伊朗黑客组织（被认为是）的活动。其中一个组织使用被称为“Infy”的恶意软件。Palo Alto Networks于今年夏天发布报告称，破坏了与Infy有关的网络间谍活动。

8月，该公司发现伊朗黑客攻击了通讯应用Telegram，访问近1500万伊朗用户的账号。这些被入侵的账号主要属于伊朗活动分子、记者和其它知名度较高的个人。据报道，此次攻击的目标是Telegram的一次性短信激活，也非端对端加密。

当用户通过新设备登录应用时，Telegram通过短信息发送验证码。然而，短信息被电话公司拦截并售卖给黑客，黑客之后便能访问用户的联系人列表和信息。

最近，恶意黑客攻击能源行业的事件引发担忧，RegBlog指出：

“网络安全威胁是许多联网建筑和电网面临的真实风险。据美国国土安全部的一份报告显示，虽然能源行业只占美国GDP的5%-6%，但该行业在所有网络攻击中占比高达近32%。

近期的事件表明供电系统存在漏洞，这为出台法案的网络措施铺平道路。3月，纽约南区起诉伊朗黑客组织2013年多次入侵纽约一个小型水坝，攻击多个大型金融企业并控制水位。这一事件最终除了给客户带来不便之外，并未带来重大损失，但它却表明潜在威胁不可小觑。

因此，伊朗威胁攻击者已逐渐开始将目标从银行移向能源网。事实上，黑客能访问关键系统，这让人忧心忡忡。这类入侵事件具有重大且广泛的破坏影响力。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。