伊朗APT黑客组织活跃攻击运输与制造业，威胁激增133%

Nozomi Networks Labs的网络安全研究人员报告称，在2025年5月和6月，与知名伊朗高级持续性威胁（APT）组织相关的网络攻击激增了133%，这与当前与伊朗的紧张局势相符。

这一增长与美国当局的警告一致，包括网络安全和基础设施安全局（CISA）6月30日的事实说明书，以及国土安全部随后发布的国家恐怖主义咨询系统公告，这些公告强调美国实体是主要目标。

根据客户共享的匿名遥测数据，Nozomi的分析显示，在这两个月期间，有28起事件与这些行为者有关，而3月和4月仅有12起，突显了进攻性网络行动的故意升级。

攻击的主要焦点似乎是工业和关键基础设施部门，特别是美国的运输和制造组织，攻击者采用复杂策略渗透网络并窃取敏感数据。

主要威胁行为者

在最活跃的组织中，MuddyWater（也称为SeedWorm）成为主要 perpetrator，通过持续性间谍活动入侵了至少五家美国运输和制造公司。

这个自2017年开始运作的伊朗支持实体，传统上以中东政府、电信和能源部门为目标，但在地缘政治冲突中转向西方资产。

紧随其后的是APT33（Elfin），它攻击了至少三家美国公司，利用网络间谍工具自2013年成立以来从航空航天、能源和石化领域窃取专有信息。

自2014年开始活跃的OilRig（APT34或Helix Kitten）被观察到攻击了两个美国实体，利用鱼叉钓鱼和定制恶意软件在中东及其他地区的金融、能源和电信部门进行情报收集。

其他 notable 行为者包括CyberAv3ngers，它重复使用了先前操作中的基础设施，涉及2024年12月首次识别的专注于OT的OrpaCrab（IOCONTROL）恶意软件，以政治动机破坏关键基础设施。

Fox Kitten（Pioneer Kitten）是自2017年以来国家支持的APT，专注于长期网络持久性以进行潜在破坏，而Homeland Justice因其2022年对阿尔巴尼亚系统的攻击而臭名昭著，并继续对全球实体构成风险。

Nozomi的威胁情报平台跟踪这些组织在各个国家的活动，揭示了针对战略重要部门以推进伊朗利益的模式。

研究人员指出CyberAv3ngers重复使用先前入侵的IP地址，突显了OT、IoT和IT环境中的持续漏洞。

缓解策略

建议全球工业组织提高警惕，重新评估安全态势，并整合威胁情报源以检测这些组的妥协指标（IoCs）。

Nozomi Networks客户受益于其威胁情报订阅中的预先存在签名，包括Mandiant TI扩展包，这些包提供实时更新并与现有网络安全工具无缝集成。

通过 daily 监控国家行为者并将遥测转化为可操作的检测逻辑，Nozomi增强了针对这些 evolving 威胁的集体防御。

随着全球冲突 increasingly spill into 网络空间， proactive 情报共享对于保护关键基础设施免受破坏性APT操作 remains 至关重要。

妥协指标（IoCs）

IP地址：159.100.6.69, 169.150.227.230, 95.181.161.50, 164.132.237.65, 5.199.133.149, 104.200.128.71, 104.200.128.206, 31.192.105.28, 185.118.66.114, 194.187.249.102, 185.162.235.29, 144.202.84.43, 64.176.173.77, 64.176.172.101, 64.176.172.235

保持更新每日网络安全新闻。关注我们的Google News、LinkedIn和X。