微软账户遭3轮爆破：伊朗黑客把密码当导弹用|伊朗黑客|导弹|微软|知名企业|网络攻击

300多家组织、25个阿联酋机构、3次精准时间窗口——这不是军事演习的数据，是Check Point Research刚刚锁定的网络攻击规模。伊朗背景的黑客组织把密码喷洒（password spraying）玩成了数字化炮击，目标直指以色列市政系统。

市政系统成了情报前哨站

Check Point在3月25日发布的报告中披露，攻击分三波推进：3月3日、3月13日、3月23日。时间点选得刁钻，恰好覆盖伊朗对以色列的导弹打击周期。市政部门在战时负责评估建筑损毁、调度救援资源，攻破这些账户等于在敌方指挥部装了窃听器。

研究人员发现，被密码喷洒锁定的城市与遭导弹袭击的城市存在地理重叠。「这暗示该行动很可能旨在支持动能作战和轰炸毁伤评估（BDA）」，报告原文如此写道。换句话说，键盘上的操作与战场上的爆炸形成了闭环。

攻击者没用什么高级漏洞。他们拿Tor出口节点当跳板，每轮扫描换一批IP，User-Agent伪装成IE10——一款2013年发布的浏览器，现在连微软自己都懒得维护。这种复古配置反而成了识别特征，像罪犯故意穿旧款衣服躲避监控，却因款式太老被记住。

密码喷洒的流水线作业

第一阶段是饱和式试探。攻击者向数百个组织的微软365账户批量投递弱密码，比如「Password123」「Company2024」这类管理员看了会血压飙升的组合。一旦撞开缺口，立刻切换至商业VPN：Windscribe的185.191.204.X段或NordVPN的169.150.227.X段，IP地理定位强制设为以色列境内。

这种「本地化伪装」绕过了基于地理位置的访问限制。系统日志显示正常用户从特拉维夫登录，实际操控者可能在德黑兰的某个地下室。

拿到有效凭证后，黑客直奔个人邮件和敏感文档。市政系统的邮箱里通常存着什么？疏散路线图、应急物资储备、关键基础设施状态——全是轰炸毁伤评估的拼图碎片。

Check Point将攻击手法与伊朗伊斯兰革命卫队旗下的Peach Sandstorm、Gray Sandstorm等组织关联。这些团伙以密码喷洒作为标准入场券，专挑高价值目标下手。本次行动中，他们还动用了红队工具，通过Tor节点执行攻击，技术指纹与Gray Sandstorm的历史活动吻合。

被忽视的63次科技业试探

市政部门承受了主要火力，但攻击者的雷达扫过多个行业。Check Point的统计显示：科技行业遭遇63次尝试，交通运输与物流32次，医疗健康28次，制造业28次。这些数字远小于市政系统的规模，却暴露了攻击者的情报胃口——科技公司可能掌握供应链数据，物流网络映射着战时物资流动，医院数据库里有伤亡统计。

更值得玩味的是地理分布。虽然以色列和阿联酋是重灾区，但同一攻击者对美国、欧洲、沙特的「有限数量」目标也进行了试探。这种广撒网策略像是压力测试：看看哪些节点的响应延迟、哪些账户的密码策略松弛，为后续行动储备入口。

攻击基础设施中出现了AS35758（Rachamim Aviel Twito）托管的商业VPN节点。这家以色列本土网络服务商的名字出现在近期多起疑似伊朗关联的中东网络行动中，像同一把钥匙反复插入不同的锁孔。

从邮箱到简历：同一时期的另一把刀

密码喷洒报告发布前后，另一支伊朗关联团伙Handala Hack正忙着搞行为艺术。他们入侵了FBI局长Kash Patel的个人邮箱，泄露其简历和照片，并留下宣言：「这只是我们的开始。」