威脅簡介：與伊朗有關的網路風險升級 (6月30日更新)

執行摘要

最近伊朗相關的一系列衝突，尤其是伊朗與以色列和美國的軍事交戰，大大提高了網路衝突的風險。這表示傳統戰場將延伸至數位領域。

雖然我們尚未看到伊朗主導的網路攻擊大幅增加，但進一步的升級可能會表現為國家贊助的攻擊組織與駭客主義攻擊者的行動激增。他們的目的是針對特定目標擾亂正常運作，或收集有關的情報影響這些對手。伊朗的威脅組織曾針對全球公私營企業的重大基礎結構和敏感產業進行攻擊，這些攻擊可能會造成深遠的後果。

過去兩年來，Unit 42 觀察到伊朗支持的團體和駭客行動主義者擴大了其全球網路行動，包括採取下列活動：

• 利用生成式 AI (GenAI) 進行社交工程和影響力活動
• 將破壞性攻擊與地緣政治事件明確地聯繫起來

這些攻擊組織除了發動過去已知的攻擊活動之外，我們預測因為近期涉及以色列和美國的相關背景，下列的攻擊活動可能會進一步將強：

• 破壞性攻擊
• 網站竄改
• 分散式拒絕服務 (DDoS) 攻擊
• 資料外洩和資料清除攻擊 (wiper attacks)，這與我們之前觀察到伊朗組織的針對以色列教育和科技產業的攻擊手法類似

我們追蹤全球各地的威脅活動，伊朗是我們監控的四大民族國家行動者之一，其他還有中國、俄羅斯和北韓。伊朗國家主義的攻擊者的主要目標通常包括間諜活動和破壞正常的運作。這些組織採用各種策略、技術和程序 (TTPs)，包括針對性的魚叉式網路釣魚活動和利用已知的軟體漏洞弱點。這些具體的觀察結果包括：

• 用於間諜活動的隱蔽基礎設施：Unit 42 最近發現的一個案例揭露疑似伊朗的隱蔽基礎設施，目的是冒充德國模特兒公司進行網路間諜活動。這些行動部署虛假網站以收集大量的訪客資料，顯示其具備戰略情報收集目的。
• 人工智慧強化的社交工程：我們最近觀察到一個伊朗威脅組織（Agent Serpens，又名 CharmingKitten）在惡意 PDF 中使用生成式 AI，並將其掩飾為美國非營利研究組織 RAND 的文件。該組織已將此 PDF 與去有針對性的惡意軟體一起綁定進行攻擊。
• 持續的破壞性行動：伊朗支持的 Agonizing Serpens APT 攻擊組織從 2023 年 1 月至 10 月間針對以色列教育與科技產業進行攻擊，目的是竊取敏感資料，例如個人可識別資訊 (PII) 和智慧財產。在這些攻擊中，它也部署了資料清除工具來破壞系統並阻礙鑑識分析。

在伊朗地緣政治局勢持續發展的背景下，我們識別了潛在網路威脅活動的四個關鍵領域：

• 伊朗民族國家的威脅行為者：伊朗民族國家威脅行為者： 在短期內，伊朗民族國家駭客可能會利用針對性攻擊，從鎖定外交官的魚叉式網路釣魚電子郵件，到針對與美國利益相關組織的破壞性資料清除惡意軟體。
• 駭客行動主義者：支持伊朗的駭客行動主義者很可能會繼續對國內外與美國相關的利益發動破壞性攻擊和影響力行動。。這包括 DDoS 攻擊，以擾亂網際網路正常存取，並在社群媒體平台上進行影響力操作。
• 網路犯罪組織：這些組織可能會伺機利用全球的不確定性來發起網路釣魚活動，利用世界大事作為惡意電子郵件和附件的主題。
• 其他民族國家行為者：其他民族國家的威脅行為者有可能利用事件來提升其利益。這些攻擊可能包括假旗偽裝行動，即來自伊朗以外其他地方的攻擊者掩飾他們的攻擊，使其攻擊行為看起來像是來自伊朗。這種情況曾發生在 2019 年，當時俄羅斯劫持了伊朗的網路基礎設施，以搭便車進入已被伊朗行為者入侵的網路。

Palo Alto Networks 客戶可透過下列產品保護並緩解此威脅行為者的活動：

• 搭配進階威脅防護（Advanced Threat Prevention）的下一代防火牆
• Cortex XDR、XSIAM 和 Cortex Cloud

Unit 42 事件回應團隊也可協助處理入侵，或提供主動評估以降低您的風險。

目前網路攻擊的範圍

Unit 42 以星座名稱 Serpens 追蹤各種伊朗國家贊助的行動者。這些團隊可能會在未來幾週增加或升級攻擊活動。

這段文字的繁體中文翻譯如下：

當前網路攻擊範圍

Unit 42 以「Serpens」星群名稱追蹤各種伊朗國家資助的行為者。這些團體在未來幾週內可能會增加或升級其活動。

伊朗國家資助的網路能力通常被用來投射和放大政治訊息（經常使用破壞性和心理戰術）。這些行動可能會側重於區域目標（例如以色列），以及他們認為的高價值目標（例如政治人物、重要決策者和其他直接相關的實體）。

國家資助的活動可能會以受害者的供應鏈、關鍵基礎結構、廠商或供應商為目標。

大部分已報告與此事件相關的網路攻擊都是蓄意破壞性的拒絕服務 (DoS) 攻擊。第三方攻擊者（例如駭客行動主義者和代理行為者）通常支持某一方或另一方，目的是對敵手造成負面衝擊和影響。

截至 2025 年 6 月 22 日，據報導有 120 個駭客行動主義團體正在回應這些事件。其他公開報告指出，網路犯罪集團和國家支持的代理團體也十分活躍。

DDoS 似乎是報告最多的攻擊方式，其次是破壞性攻擊。研究人員已觀察到與這些事件相關的破壞性惡意軟體（如資料清除工具）樣本。其他破壞性攻擊還包括 2025 年 6 月加密貨幣交易所入侵中摧毀了 9,000 萬美元的資金。

其他資料外洩及相關資料洩漏則是旨在對任何一方造成損害。有報告還指出，以營運技術 (OT) 為目標。這兩者有時是相關的，因為能源和其他公用事業公司的資料外洩事件也曾被報導與這些事件有直接關係。

Unit 42追蹤的伊朗威脅組織

• Agent Serpens（又名 APT42）
  • 針對以色列和美國的網路間諜和監控組織，目標是那些被認為對伊朗政府構成風險或抗議政府的異議人士、活動家、記者及其他團體。
  • 初始入侵方式：主要是魚叉式網路釣魚，包括利用虛假登入頁面收集憑證，以及水坑式攻擊
• Agonizing Serpens（又名 Pink Sandstorm）
  • 該組織針對中東地區的目標從事間諜、勒索軟體和破壞性惡意軟體攻擊，其中以針對以色列的攻擊為重點。
  • 初始存取：密碼攻擊（例如暴力破解、密碼噴灑）以及利用已知的弱點（隨後部署 Web Shell）
• Boggy Serpens（又名 MuddyWater）
  • 一個網路間諜團體，向伊朗政府及其他網路攻擊者提供竊取的資料和存取權限。
  • 初始入侵方式：魚叉式網路釣魚和利用已知的軟體漏洞
• Curious Serpens (又稱 Peach Sandstorm)
  • 自 2013 年起活躍的間諜團體，目標是美國、中東和歐洲的航空航太、國防和能源部門。該團體已利用包括 Azure 在內的雲端基礎設施進行命令與控制（C2）。
  • 初始入侵方式： 廣泛針對性的密碼噴灑攻擊，或以招募工作為主題進行的社交工程攻擊，以傳送自訂惡意軟體，包括 Falsefont 或 Tickler 後門程式。一旦進入內部，該團體已知會使用 AzureHound 和 Roadtools 等工具進行發現活動，以從 Microsoft Entra ID 收集和搜刮資料。
• Devious Serpens（又名 Imperial Kitten）
  • 一個間諜團體，以針對中東地區的 IT 供應商作為供應鏈攻擊的一部分而聞名。
  • 初始入侵方式：透過社交媒體進行的社交工程、憑證魚叉式網路釣魚和水坑式攻擊，部署 Web Shell
• Evasive Serpens（又名 APT34）
  • 一個多產的間諜團體，以符合民族國家利益的廣泛目標而著稱。
  • 初始入侵方式：主要依靠魚叉式網路釣魚，但也與其他更複雜的攻擊相關聯，例如憑證收集活動和 DNS 劫持
• Industrial Serpens（又名 Chrono Kitten）
  • 一個與伊朗相關的代理團體，涉及符合國家利益的破壞性攻擊（例如：勒索軟體、資料清除惡意軟體、駭客與洩露攻擊）。
  • 初始入侵方式：透過社交工程散佈託管在偽造網站的 Android 間諜軟體、進行密碼攻擊（例如暴力破解、密碼噴灑）和利用已知的漏洞

結論

鑑於威脅行為者所使用的策略種類繁多，多層防禦是最有效的，因為沒有任何單一工具可以提供完整的防護，以對抗這些適應性強的威脅。我們建議將重點放在基礎安全衛生上，這是一種行之有效的方法，可針對各種策略提供彈性的防護。

我們建議採取下列預防措施，以協助緩解可能的攻擊所造成的影響。

戰術建議

• 盡可能加強對任何威脅訊號的回應，特別是與網際網路可存取資產相關的訊號，例如網站、虛擬私人網路（VPN）閘道和雲端資產。
• 確保網際網路可存取基礎設施已更新安全修補程式，並遵循其他強化最佳實踐。
• 對員工進行網路釣魚和社交工程策略的培訓，並持續監控可疑活動
• 6 月 30 日，CISA、FBI、國防部網路犯罪中心和 NSA 聯合發布了一份情況說明書，名為「伊朗網路行為者可能鎖定脆弱的美國網路和感興趣的實體」，敦促各組織對伊朗國家資助或附屬威脅行為者潛在的針對性網路行動保持警惕。

策略性建議

• 啟動或更新任何可能因數位或實體攻擊而中斷的員工或資產的業務連續性計畫。
• 準備驗證並回應入侵或資料洩漏的聲明
  • 威脅行為者可能會利用這些聲明（即使它們不真實）來使受害者難堪或騷擾受害者，或散佈政治敘事。

由於在這些事件期間，攻擊活動可能會持續加劇，因此保持對潛在攻擊的警惕非常重要。駭客行動主義者和國家支持的威脅行為者一直伺機而動，這可能導致意想不到的目標受到攻擊。

一旦有更多相關資訊，我們會更新此威脅簡報。

Palo Alto Networks 和 Unit 42 如何提供協助

Palo Alto Networks 客戶可利用各種產品防護與更新，來識別並防範與這些事件相關的威脅。

如果您認為自己可能受到威脅或有緊急事項，請聯絡 Unit 42 事件回應團隊或撥打：

• 北美洲：免付費電話：+1 (866) 486-4842 (866.4.UNIT42)
• 英國：+44.20.3743.3660
• 歐洲和中東：+31.20.299.3130
• 亞洲：+65.6983.8730
• 日本：+81.50.1790.0200
• 澳洲：+61.2.4062.7950
• 印度：00080005045107

下一代防火牆和具備進階威脅防護的 Prisma Access

進階威脅防護已內建機器學習型偵測，可即時偵測入侵。

Cortex

Cortex XDR、XSIAM 和 Cortex Cloud 的設計旨在防止已知惡意軟體的執行。它還旨在使用行為威脅防護和基於本機分析模組的機器學習，防止未知惡意軟體和其他惡意活動的執行。