伊朗网络威胁升级：47天断网后恢复，关键基础设施与金融欺诈成攻击焦点

🎯 Critical APT组织

2026年2月底美以联合军事行动后，伊朗发动多向量报复性网络攻击，并在47天断网后于4月17日有限恢复互联网接入。Unit 42发现伊朗威胁组织CL-STA-1128（又称Cyber Av3ngers）转向攻击罗克韦尔自动化OT/ICS设备，同时大规模冲突主题钓鱼、金融欺诈和加密货币骗局针对中东地区企业及消费者。

来源：Palo Alto Unit42 | 2026-04-17 | 原文链接

🔍 关键发现

• 伊朗威胁组织CL-STA-1128（Cyber Av3ngers）从Unitronics PLC转向攻击罗克韦尔自动化OT/ICS设备，使用FactoryTalk软件进行利用。
• 自4月1日起，全球5600个IP地址暴露罗克韦尔/艾伦-布拉德利SCADA设备；伊朗IP空间每日服务量从2.5万激增至约30万。
• 攻击者注册数千个冲突主题域名，针对阿联酋、沙特阿拉伯等地区实施企业凭证窃取、账单欺诈和加密货币骗局。

⚔️ 攻击链分析

1. 注册冲突主题域名并搭建仿冒企业门户/支付系统；2. 通过AI增强的鱼叉式钓鱼邮件或短信分发恶意链接；3. 利用合法软件（如FactoryTalk）或已知漏洞入侵OT/ICS系统；4. 部署擦除器、勒索软件或窃取数据，实施破坏或欺诈。

🚩 失陷指标 (IOC)

• 冲突主题域名（如fake-storefront.com、donation-scam.net）
• 仿冒阿联酋/沙特电信、航空、能源企业的钓鱼域名（如emirates-billing.com、dubai-investment.org）

🛡️ 缓解建议

• ✅ 对暴露在公网的OT/ICS设备（如罗克韦尔、艾伦-布拉德利PLC）实施网络分段和访问控制，禁用不必要的远程访问。
• ✅ 部署高级威胁防护（如NGFW、URL过滤、DNS安全）以阻断已知恶意域名和钓鱼链接。
• ✅ 加强员工安全意识培训，警惕冲突主题钓鱼邮件及仿冒企业门户的登录页面。
• ✅ 启用多因素认证（MFA）并监控异常VPN/VPS基础设施的使用。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。