一个伊朗背景的黑客组织,花了大力气渗透进阿曼12个政府部门,偷了2.6万多条公民记录。最后栽在一个低级错误上:他们把指挥控制服务器的一个目录设成了公开访问。
这就像是抢完银行,把赃物清单贴在了自家门口。
发现这一切的是Hunt.io的安全分析师。他们在例行扫描中注意到一台位于阿联酋的虚拟专用服务器,IP地址172.86.76[.]127,目录完全开放。
点进去一看,全套攻击工具、控制代码、会话日志、被盗数据,全部明码标价式地摆在那里。服务器上甚至有个README文件,标注这台机器为"VPS C2"——意思是这只是某个更大基础设施中的一个节点。
分析师们由此拼凑出一场持续数月的网络入侵全貌。主要确认目标是阿曼司法与法律事务部,活跃入侵迹象最晚可追溯至2026年4月10日。
攻击者在这个部门拖走了超过2.6万条用户记录,外加司法案件数据、委员会决议,以及包含内部凭证的Windows注册表配置单元。这些不是边角料,是一个国家司法系统的核心数据。
工具箱解剖:老式手法,精准打击
从暴露的服务器上,Hunt.io团队还原了攻击者的完整技术栈。两个网络外壳(webshell)是核心武器:
第一个叫hc2.aspx,直接从指挥控制服务器上恢复出来。第二个叫health_check_t.aspx,被硬编码进所有针对司法部的攻击脚本里。
命令传递机制极其简单:通过单一参数下发,经Windows命令进程执行,输出以纯文本返回。没有复杂加密,没有多层跳板,就是最直接的那种"能跑就行"。
服务器上还有一个专门文件夹,存放12个为阿曼政府目标定制的漏洞利用脚本。覆盖范围包括:Exchange邮件喷洒攻击、SQL服务器权限提升、以及基于内存的执行技术——后者专门用来避免在磁盘上留下文件痕迹。
目标清单横跨12个实体:皇家阿曼警察、税务局、民航局、财政部、公诉办公室。技术手段从ProxyShell漏洞利用到凭证暴力破解,一应俱全。进入内网后,攻击者还部署了GodPotato——一款Windows本地权限提升工具。
指挥控制系统由Python HTTP服务器搭配PowerShell信标组成。信标每30秒回连一次,返回受害者机器信息。这种设计不是为了隐蔽,是为了可靠。
伊朗背景的拼图证据
Hunt.io的研究将这场行动与伊朗国家支持的活动模式挂钩。具体关联点在于:技术特征与过去归因于伊朗情报与安全部的行动存在重叠。
阿曼被伊朗背景黑客盯上不是新鲜事。2025年,另一个组织攻破了阿曼外交部的一个邮箱,并用它向全球大使馆发送钓鱼邮件。那次是外交渠道渗透,这次是司法数据收割,方向一致,精度升级。
本轮行动的焦点明显收窄:司法记录、移民数据、公民身份信息。这些不是随机选择的结果。司法系统掌握着一个国家最敏感的社会关系图谱——谁告了谁,谁被判了什么,谁在系统中留下了生物识别信息。
攻击者留下的注册表配置单元尤其值得注意。这意味着他们不只是偷数据,还在收集内网凭证,为长期驻留或横向移动做准备。
那个暴露的目录说明了什么
一个国家级别的网络行动,在基础设施运营层面犯了新手错误。这种反差本身就有信息量。
可能的解释有几种:操作团队与基础设施管理团队不是同一批人;或者这个节点被设计为可丢弃的,权限管理本就粗放;又或者,这只是庞大机器中的一个齿轮,单个节点的暴露不影响整体运转。
README文件里"VPS C2"的标注支持第三种猜测。攻击者清楚自己在运营一个分布式系统,这台服务器只是其中之一。目录暴露可能是疏忽,也可能是"疏忽成本"被计入整体风险评估后的结果。
对防御方而言,这个案例提供了一个罕见的完整视图。通常,分析师只能从受害者侧拼凑攻击链条,或者从威胁情报中抓取碎片。这次,攻击者的"厨房"完全敞开——工具、脚本、日志、数据,全部可查。
这种透明度让归因分析更有底气,也让技术对抗更有针对性。12个定制脚本的具体功能、两个webshell的通信协议、PowerShell信标的回连机制,现在都是公开知识。
阿曼的处境与选项
12个政府部门被渗透,意味着攻击者在阿曼政府网络中拥有相当程度的自由移动能力。从司法部到皇家警察,从税务局到民航局,攻击者已经绘制出一张相当完整的政府网络地图。
暴露的服务器提供了补救窗口。安全团队可以据此追踪其他节点、封锁通信渠道、清理webshell。但前提是他们行动够快——攻击者一旦发现这个节点暴露,整个基础设施可能在一夜之间切换。
更大的问题在结构层面。12个定制脚本说明攻击者对阿曼政府IT环境做了深度侦察。这不是 opportunistic 的广撒网,是针对性的长期作业。防御者需要回答:攻击者还留下了什么没被发现?
热门跟贴