伊朗黑客组织对洛杉矶交通系统发起网络攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

伊朗黑客组织对洛杉矶交通系统发起网络攻击

颁布功夫 2026-05-28

1. 伊朗黑客组织对洛杉矶交通系统发起网络攻击

5月26日，安全钻研人员近日披露，今年3月针对洛杉矶县大城市交通运输治理局（LACMTA）的网络攻击，其幕后黑手是伊朗支持的黑客组织。以色列草创公司Gambit Security周二颁布的一份汇报明确指出，这些黑客从属于伊朗谍报和国度安全数（MOIS）。一个名为“米纳布的阿巴比勒”（Ababil of Minab）的组织此前宣称对这次攻击掌管，称其窃取并删除了洛杉矶县交通治理局系统中的数据。然而，Gambit Security对该组织的自我描述提出了质疑，以为他们并非像宣称的那样是一个全新的、独立的黑客行动主义集体。Gambit暗示，其指控基于法证证据，将这些黑客与此前已被确认与伊朗有关的网络攻击活动联系了起来。这些证据涉及以色列国度网络局认定为伊朗谍报组织（MOIS）所为的恶意活动。此表，Gambit还调查了该组织针对以色劣注沙特阿拉伯和土耳其公司的其他攻击事务，进一步坚韧了其与伊朗当局关联的结论。若是Gambit的评估属实，那么“米纳布的阿巴比勒”将成为一系列为伊朗当局效力的虚伪黑客组织中的最新成员。

https://techcrunch.com/2026/05/26/iranian-hackers-blamed-for-breach-of-los-angeles-transit-system-that-took-weeks-to-recover/

2. KnowledgeDeliver LMS零日缝隙遭黑客利用

5月26日，安全公司Mandiant近日披露，黑客利用运行KnowledgeDeliver进建治理系统（LMS）的服务器上一个严沉零日缝隙，成功部署了Godzilla Web Shell。该缝隙被编号为CVE-2026-5426，性质上是一个反序列化问题，其本原在于所有KnowledgeDeliver客户部署的Web门户配置中共享了统一个硬编码的ASP.NET机械密钥。由于该缝隙无需身份验证即可利用，攻击者一旦获取了该机械密钥，便可对恶意ViewState有效载荷进行署名，从而在操作系统级别实现远程代码执行。据Mandiant泄漏，早在2025岁暮，该公司就已对KnowledgeDeliver服务器遭逢的攻击进行了应急响应。钻研发现，该缝隙最初被作为零日缝隙使用，攻击者向Web平台注入了恶意剧本。在2026年2月24日之前部署的KnowledgeDeliver装置版本，均依赖于供给商提供的尺度化web.config文件，该文件中蕴含了硬编码的machineKey值，而这些值本应被用于加密和署名数据（蕴含ViewState负载）。现实上，该平台上的恶意代码会“诱使用户下载虚伪装置法式”，进而导致推算机习染Cobalt Strike信标，植入后门。

https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/

3. 多方联手粉碎“Glassworm”僵尸网络

5月27日，一场针对软件开发者的大规模供给链攻击行动“Glassworm”近日遭到沉猛进攻。在CrowdStrike、谷歌和Shadowserver基金会结合提议的一次协调行动中，攻击者精心构建的、具备高度抗粉碎能力的号令与节造基础设施被彻底堵截。该僵尸网络自2025年10月以来持续活跃，最初通过恶意的OpenVSX和Microsoft VS Code扩大法式，专门针对开发者执行加密钱币钱包和登录凭证窃取。随后攻击领域扩大至GitHub仓库和npm包，仅今年3月的一次攻击就影响了超过400个软件工件。在最新一波攻击中，攻击者在OpenVSX上植入了数十个处于休眠状态的扩大法式，一旦更新便会激活恶意组件。Glassworm之所以能持久存活，关键在于其运营者设计了一套极具韧性的C2架构，将Solana区块链、BitTorrent散布式哈希表、公共日历服务与传统服务器结合，形成多层间接掩护。具体而言，C2服务器地址被编码在Solana区块链买卖的备注字段中，形成无法被传统伎俩关关的不成篡改死信箱；同时，恶意软件通过查问BitTorrent DHT网络获取与硬编码公钥关联的配置数据，利用全球去中心化的点对点网络解除单点故障；此表，Google日历事务标题还被用作Base64编码的C2蹊径死信箱。

https://www.bleepingcomputer.com/news/security/glassworm-botnet-disrupted-after-resilient-c2-infrastructure-takedown/

4. Windows与Android遭两大银行木马攻击

5月27日，近期，拉丁美洲和欧洲遭逢两起银行木马攻击，别离针对Windows和Android设备。Grandoreiro重要攻击西班牙、葡萄牙、墨西哥的企业，自2016年活跃至今，已能窃取45个国度和地域的金融机构凭证。只管巴西当局曾试图粉碎其基础设施，该木马仍在扩大，并参与CAPTCHA匹敌分析。最新攻击利用DLL侧加载和WebRTC流量暗藏行为，明确针对葡萄牙多家银行。另一波攻击通过垂钓邮件传布假装成Adobe Reader更新的恶意文件。此表，BTMOB安卓木马以巴西用户为指标，具备截屏、键盘纪录、窃取凭证等职能，后续版本可捕获支付宝PIN码。该木马以每月700美元销售，附带APK构建器，无需编码即可天生恶意载荷，通过虚伪网站诱导装置并滥用辅助职能权限。BTMOB泄露版本已在地下论坛流传，降低了犯罪门槛。

https://thehackernews.com/2026/05/grandoreiro-malware-and-btmob-rat.html

5. “无声勒索集团”沉点攻击美国律师事务所

5月27日，美国联国调查局近日颁布忠告称，一个与已遣散的Conti勒索软件集团有关联的网络勒索组织“无声勒索集团”（Silent Ransom Group, SRG）正越来越多地以美国律师事务所为指标，通过垂钓邮件、虚伪IT支持电话，甚至调派人员亲自上门等伎俩窃取敏感数据。该组织也被称为Luna Moth、Chatty Spider和UNC3753，自2023年以来持续利用社会工程伎俩远程接见公司系统并执行数据窃取。与传统的勒索软件分歧，SRG专一于数据窃取与勒索，而非加密受害者网络。一旦得手，攻击者便威胁在泄密网站上公开数据或将其销售，迫使受害者支付赎金。在今年春季的最新攻击活动中，攻击者假装成公司内部IT人员，通过电话或垂钓邮件诱导员工联系虚伪服务台，进而说服员工授予远程桌面接见权限，从而急剧窃取文件。联国调查局指出，若是这些伎俩失败，该团伙甚至可能调派人员直接前往受害者办公室，宣称必要创建备份或镜像设备以解决安全问题，随后使用表部存储设备复造数据。该组织的活动极具荫蔽性，因其严沉依赖企业IT部门常用的合法远程治理和系统治理工具，被盗数据通常通过谷歌云端硬盘和微软OneDrive等可信云平台传输，使得恶意活动与正常业务运营难以分辨。

https://therecord.media/fbi-warns-hackers-visit-law-firms-to-steal-data

6. CISA垂危要求四天内建复LiteSpeed高危缝隙

5月27日，美国网络安全和基础设施安全局（CISA）近日颁布垂危指令，要求美国联国机构在四天内建复一个被积极利用的严沉缝隙。该缝隙编号为CVE-2026-48172，存在于LiteSpeed的cPanel用户端插件中，是一个权限提升缝隙，与Redis启用/禁用职能处置不当有关，具体位于lsws.redisAble函数中。由于权限分配谬误，未授权的远程攻击者可能以root权限执行肆意剧本，对服务器组成严沉威胁。LiteSpeed已于周四颁布垂危安全更新，强烈建议用户将cPanel用户端插件（与WHM插件绑缚）更新至最新版本，受影响版本覆盖v2.3至v2.4.4。LiteSpeed团队提供了检测号令，建议用户查抄服务器日志中是否存在可疑IP地址，并评估可能造成的侵害。CISA于周二将该缝隙列入“已遭攻击利用的缝隙目录”，并凭据约束性操作指令BOD 22-01，要求联国机构在5月29日午夜前实现建补。

https://www.bleepingcomputer.com/news/security/cisa-gives-feds-4-days-to-patch-actively-exploited-cpanel-plugin-flaw/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研