【安全资讯】伊朗抗议支持者遭黑客间谍活动锁定，新型恶意软件CRESCENTHARVEST浮出水面

概要：

在伊朗国内因抗议活动而实施大规模互联网封锁的背景下，一场新的网络间谍活动悄然兴起。网络安全研究人员发现，疑似与德黑兰当局结盟的黑客组织，正将矛头对准伊朗反政府抗议活动的海外支持者。这场活动利用人们对国内局势信息的迫切需求，通过伪装成真实抗议内容的恶意文件进行渗透，凸显了地缘政治动荡时期网络威胁的复杂性与针对性。

主要内容：

瑞士网络安全公司Acronis发现，这场间谍活动始于2024年1月初，恰逢伊朗全国爆发要求结束现行体制的大规模示威之后。攻击者很可能利用了当局为限制骚乱报道而实施全面互联网封锁后，人们对信息需求激增的时机。

攻击者分发捆绑了真实抗议画面和一份波斯语报告的恶意文件，该报告声称提供来自“伊朗反抗城市”的最新消息。压缩包中的两个文件（伪装成视频和图像）会投放一种此前未被记录的恶意软件，研究人员将其命名为CRESCENTHARVEST。

CRESCENTHARVEST兼具远程访问木马和信息窃取器功能。它能执行命令、记录键盘输入并窃取敏感数据，包括保存的凭证、浏览历史、Cookie和Telegram账户信息。该恶意软件还能检测已安装的杀毒软件，从而调整自身行为——在防护薄弱的系统上更具攻击性，或减少活动以避免检测。

鉴于伊朗持续的互联网封锁，该活动更可能针对海外伊朗人或其支持者，而非国内目标。初始感染方法尚不明确，但研究人员评估，活动很可能始于鱼叉式网络钓鱼或长期的社交工程手段，旨在建立信任后再投递恶意文件。