中東網路戰升溫，全球資安風暴將至？——地緣政治下的新攻防態勢

隨著中東局勢持續緊張，誰是我們應該關注的網路攻擊者？

自 2023 年 10 月 7 日哈瑪斯對以色列發動攻擊以來，中東衝突再度成為國際焦點。以色列對加薩走廊展開連串報復行動，情勢在近期更因以色列與伊朗相互轟炸領土而升溫，美國則介入轟炸伊朗核設施，試圖破壞或摧毀伊朗的核計劃。不久後，美國總統宣布雙方停火，截至目前為止，停火協議仍在勉強維持。

儘管多數關注都放在戰爭中的實體行動，如轟炸、人道物資封鎖與設施破壞，但另一個潛在的戰場正在網路空間中快速發展。這在現代衝突中越來越普遍。以色列和伊朗，這兩個當前衝突的主要國家，都有發動具破壞性的網路攻擊歷史，彼此之間的網路攻防早已持續多年。

我們曾於去年發佈白皮書，討論來自這個區域的網路攻擊活動，題為《中東衝突：網路威脅行為者與風險總覽》。

Stuxnet：劃時代的網路攻擊案例

本區域最臭名昭著的網路事件之一，就是 Stuxnet 蟲的出現。這款惡意軟體專為破壞伊朗納坦茲（Natanz）核設施的離心機而設計——該設施也是美國近期空襲的目標之一。Stuxnet 是已知最早由國家級支持的網路攻擊之一，證明駭客能夠遙控並毀損實體設備。Stuxnet 主要目的是讓納坦茲設施的離心機馬達失控，最終損毀。2010 年，該惡意軟體因意外擴散到私人網路，被 Symantec 研究人員首次揭露。Stuxnet 長期被認為是美國與以色列聯手所為，雖然兩國均未正式承認。值得注意的是，Stuxnet 直到感染私人網路後才被發現，這也代表目前兩國間的網路作戰，極可能已在暗中進行而未被外界察覺。

網路戰正影響中東局勢

近期媒體報導顯示，中東地區正在遭遇潛在的網路戰。例如親以色列駭客「Predatory Sparrow」對伊朗加密貨幣交易所 Nobitex 發動攻擊，盜取了 9000 萬美元的加密貨幣。也有報導指出，伊朗駭客組織 Damselfly 正針對以色列的知名學者、記者及資安研究人員進行精準釣魚攻擊（詳見 Damselfly 行為者簡介）。

Damselfly 只是當前衝突中可能積極活動的主要網路攻擊者之一，這些組織的目標往往包括全球重要機構的網路系統，不論是情報蒐集、破壞，還是滲透破壞。

主要行為者分析

伊朗攻擊組織

我們對部分主要伊朗網路行為者及其活動已有相當掌握。伊朗攻擊組織這幾年技術快速進步，不僅惡意程式更為精密，還發展出強大的社交工程能力，經常利用「數位陷阱」等手段誘騙目標。

伊朗的網路作戰一大特點，是定期對其認定的敵對國家（如美國、以色列等）發動破壞性攻擊。這類攻擊主要在「傳遞訊息」而非「竊取資料」，所以任何在這些國家的組織都可能遭受波及。

案例研究：Seedworm 瞄準小型組織

Seedworm （又稱 MuddyWater、Temp Zagros、Static Kitten）是伊朗最活躍的組織之一，過去多專注間諜情報活動，2017 年起由美國 CISA 認定為伊朗情報部門下屬單位。該組織原本以中東受害者為主，後來擴展到亞、非、歐、美的電信、國防、地方政府及石油天然氣等產業。Seedworm 不僅自製惡意程式，也會使用雙重用途或現成攻擊工具。

近年 Seedworm 開始與其他組織合作或內部細分，發動以勒索軟體偽裝的破壞性攻擊。例如他們使用「DarkBit」勒索軟體，表面上加密電腦資料，但其實更像在發出政治宣示，部分勒索訊息帶有明顯政治訴求，顯示攻擊本意不是為了勒索金錢。

近期一場疑似由 Seedworm 發起的攻擊，針對多個非中東地區的小型企業（如公用事業、運輸、製造等）。攻擊者利用感染 Mirai 惡意軟體的家用路由器當跳板，間接入侵受害組織，繞過國籍 IP 偵測。進入系統後，利用多項漏洞攻擊 IIS 伺服器，再透過合法工具 Plink 建立反向 RDP 通道繞過防火牆，實現持續存取。隨後又用 BruteRatel 這類專業紅隊工具盜取帳密，進一步橫向滲透並攻擊 SQL 伺服器。

隨後，攻擊者在網路中安裝 ndisproxy，進行中間人攻擊，鎖定訪問受害機構的其他目標，例如政府部門。部分目標組織掌握著重要人士個資，攻擊者還會盜取數位簽章用於其他攻擊。伊朗攻擊組織長期以來特別關注運輸業，以追蹤軍事或高價值物資流動。這次受害組織全為中小企業，且都位於中東以外，顯示 Seedworm 正在擴大攻擊範圍。

案例研究：Druidfly襲擊以色列目標

Druidfly（又稱 Homeland Justice、Karma） 以資料抹除（wiping）攻擊聞名。2022 年 7 月針對阿爾巴尼亞政府發動資料抹除攻擊，並留下一則反對伊朗異議組織 MEK 的訊息，隨後由 Homeland Justice 聲稱犯案。事後阿爾巴尼亞與伊朗斷交，引發新一波攻擊。美國 FBI 最終認定這些攻擊與伊朗政府有關。

2023 年 Druidfly 開始用名為「BibiWiper」的新型抹除工具攻擊以色列多個目標，該惡意程式會先加密硬碟檔案，然後覆寫主開機記錄（MBR），讓電腦無法重開機。程式內還藏有反以色列訊息。BibiWiper 的技術細節與 Druidfly 過去在阿爾巴尼亞的攻擊高度相似，攻擊流程也有多處重疊，如部署 HTTPSnoop 惡意程式、使用 AnyDesk/ScreenConnect 遠端桌面工具，以及 ReGeorg Web shell 等。

2025 年 6 月，Druidfly 又被發現攻擊阿爾巴尼亞，利用竊取的合法憑證簽署攻擊工具。6 月 23 日傳出阿爾巴尼亞首都地區公共服務系統遭攻擊癱瘓，Homeland Justice 宣稱負責，並表示攻擊原因是該國境內有 MEK 成員。

2023年加薩衝突升級後，Druidfly開始針對以色列多個目標發動一系列資料抹除攻擊。這波攻擊以駭客組織「Karma」名義進行，部署的抹除程式命名為 BibiWiper（源自以色列總理Netanyahu的暱稱“Bibi”）。

BibiWiper 會加密硬碟檔案，隨後覆蓋主開機記錄（MBR），導致電腦無法重啟。分析發現，其程式碼內嵌有明顯的反以色列訊息，如下圖所示：

此外，威脅獵人團隊對 BibiWiper 的分析發現，它與 Druidfly 在 2022 年和 2023 年襲擊阿爾巴尼亞期間部署的擦除器有明顯的相似之處。

追蹤用於發動針對以色列的 BibiWiper 攻擊的其他工具表明，這些攻擊與早期的 Druidfly 攻擊在策略、技術和程序上有以下重疊：

• HTTPSnoop 惡意軟體在 Druidfly 擦除攻擊之前就已部署

• 遠端桌面工具 AnyDesk 和 ScreenConnect 的使用

• ReGeorg Web Shell 的使用

Damselfly（又稱 Charming Kitten、Mint Sandstorm）

Damselfly（又名 Charming Kitten、Mint Sandstorm）是一個伊朗間諜組織，自 2014 年以來一直活躍。該組織最初以針對以色列發動攻擊而聞名，後來其目標逐漸擴大到美國和其他國家。雖然該組織主要以情報收集活動而聞名，但其成員也參與了勒索攻擊。多家供應商稱該組織與伊朗伊斯蘭革命衛隊 (IRGC) 有關聯。

2022年3月，據報道，Damselfly 是伊朗多個組織之一，已開始發動大規模社會工程攻擊。這些攻擊活動的共同特點包括使用魅力十足的馬甲、以潛在工作機會作為誘餌、透過記者進行招攬以及偽裝成智庫專家徵求意見。攻擊者利用了 LinkedIn、Facebook、Twitter 和 Google 等社群網路。

Damselfly 也與 2023 年 7 月針對美國智庫核安專家的攻擊、2023 年 11 月針對以色列運輸、物流和技術部門的攻擊以及 2024 年 1 月針對比利時、法國、加薩、以色列、英國和美國的大學和研究機構中從事中東事務的個人的攻擊誘餌活動有關，該活動中的攻擊者下載以攻擊者為以色列的軟體。

最近，Check Point 報告稱，一項新的 Damselfly 攻擊活動於 2025 年 6 月中旬發起，針對以色列記者、網路安全專家以及以色列頂尖大學的電腦科學教授，透過魚叉式網路釣魚攻擊，試圖竊取憑證和多因素身份驗證代碼，從而獲取目標電子郵件帳戶的存取權限。部分受害者透過電子郵件和 WhatsApp 訊息聯繫攻擊者，他們冒充技術高管或研究人員的虛擬助理。

Mantis（又稱 Desert Falcon、Arid Viper、APT-C-23）

Mantis 自 2014 年起活躍，為一個阿拉伯語系駭客組織，據信基地設於加薩走廊。主要針對政府、軍事、媒體、金融、科研、教育和能源產業進行間諜活動，主要受害對象為中東地區，但偶爾也攻擊境外目標。該組織與哈瑪斯的關聯尚未有明確證據。

Mantis 主要利用含惡意檔案或連結的標槍式網釣郵件攻擊，工具組包括 Trojan.Micropsia 與 Trojan.AridGopher。Micropsia 具備截圖、鍵盤記錄、壓縮檔案準備外洩等功能，AridGopher 則為模組化後門程式，且持續更新以躲避偵測。

2022-2023 年間，Mantis 發動針對巴勒斯坦地區的攻擊，使用多個工具組進行網路滲透。由於加薩目前受到封鎖且網路有限，Mantis 若僅設於加薩，現階段可能難以運作，但成員是否分布於海外則尚不明朗。

下一步是什麼？

隨著中東衝突持續，預計來自伊朗的網路攻擊（尤其針對以色列及其支持者如美國）將主要以情報蒐集或破壞為主。Seedworm、Damselfly 與 Druidfly 等組織將是最值得留意的行為者，他們具備高度資安技術與經驗，足以發動嚴重攻擊。

伊朗攻擊組織在社交工程領域的能力極強，所有潛在目標國（如以色列、美國）及重要組織都須特別警覺。這些駭客也常挑在企業疏於防範的時刻（如假期或週末）發動攻擊，正如 Shamoon 資料抹除攻擊（2012、2016、2018 年在沙烏地阿拉伯）大多發生於假期期間。隨著美國進入假期季節，資安團隊更要嚴陣以待，以防駭客趁虛而入造成重大損失。

您的企業資安準備好了嗎？

面對層出不窮的跨國資安威脅，僅靠傳統防護已經不足以應對。Symantec 亞洲代理商 Westcon 團隊擁有最前線的全球威脅情報和在地專家顧問，能協助您評估風險、優化資安架構、建置先進防禦機制。立即聯絡我們，了解企業如何強化防禦，與國際駭客組織說不！

延伸閱讀

深入了解這些及更多中東網路攻擊組織，請參考我們的白皮書：

• 《中東衝突：網路威脅行為者與風險總覽》

• 《伊朗威脅組織》

原文出處 Symatnec Enterprise Blogs

https://www.security.com/threat-intelligence/cyber-war-middle-east