【安全资讯】伊朗政府黑客利用Chaos勒索软件作为掩护实施间谍活动

概要：

网络安全公司Rapid7近日披露，伊朗政府背景的APT组织MuddyWater正利用Chaos勒索软件作为伪装，掩盖其针对西方和中东网络的间谍与数据窃取行动。该事件最初看似一起勒索攻击，但深入调查发现，攻击者通过Microsoft Teams社交工程获取初始访问权限，并部署远程管理工具窃取VPN凭证，最终以数据泄露为要挟。Rapid7指出，这种“假旗行动”旨在混淆攻击意图并规避溯源，凸显了国家支持的网络入侵与网络犯罪手法日益融合的趋势。

主要内容：

Rapid7的研究人员Alexandra Blia和Ivan Feigl在报告中指出，此次入侵事件中，攻击者首先通过Microsoft Teams向目标员工发起外部聊天请求，建立一对一对话后，利用屏幕共享功能诱导受害者输入VPN配置凭证。随后，攻击者部署远程管理工具以获取更深层次的系统访问权限。在未加密文件的情况下，攻击者向公司员工发送多封勒索邮件，威胁若不支付赎金将泄露窃取的数据。尽管勒索过程显得笨拙，但攻击者后续确实公布了经公司确认的真实数据。

技术分析显示，此次攻击中部署的恶意软件和使用的数字证书均与伊朗情报与安全部（MOIS）下属的MuddyWater组织常用工具包高度吻合。攻击基础设施此前已被安全厂商关联至2025年3月针对中东和北非组织的另一场MuddyWater行动。Rapid7强调，此次事件中缺乏文件加密这一异常现象，成为识别真实攻击者的关键线索。

MuddyWater组织自2026年初以来活动显著增加，主要聚焦网络间谍和潜在破坏性行动的预部署。通过借用Chaos勒索软件品牌，该组织试图降低归因风险并维持一定程度的“合理否认”空间。Rapid7警告，这种国家行为体与网络犯罪生态系统的融合，正使西方执法机构的溯源工作面临更大挑战。此前，伊朗黑客还被发现与NoEscape、Ransomhouse和AlphV等勒索软件团伙合作，从中抽取赎金分成。