文章总结： 文档指出美以冲突后伊朗APT组织加大对关键基础设施攻击，MuddyWater等针对能源电信行业进行间谍破坏。中东漏洞风险显著高于全球，攻击者利用默认凭证等手段渗透。建议启用OT监控、更新情报、修复漏洞并重评估IT/OT分段，以应对混合威胁。 综合评分： 85 文章分类： 威胁情报,安全大事件,漏洞分析,应急响应

伊朗APT组织在地缘政治紧张局势加剧之际，加大对关键基础设施的网络攻击力度

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月4日 19:08 北京

上周，美以联合发动“狮吼行动”，对伊朗核设施和军事设施进行军事打击，中东紧张局势急剧升级。

伊朗以导弹和无人机进行报复，扰乱了海湾地区的能源、航空运输和外交稳定。在这场军事冲突中，与伊朗有关联的高级持续性威胁组织（APT）加大了针对全球关键基础设施的网络攻击力度。

Nozomi Networks报告称，与伊朗有关的 APT 警报数量激增，制造业和运输业受到的威胁最为严重。

遥测数据显示，冲突初期攻击事件呈系统性增长，与此前冲突升级期间133%的增幅相呼应。MuddyWater、OilRig、APT33和UNC1549等组织主导了此次攻击浪潮，主要从事间谍活动和破坏活动。

MuddyWater（又名 APT34、Seedworm）与伊朗情报与安全部 (MOIS) 有关联，它利用鱼叉式网络钓鱼、凭证窃取和“借用系统资源”等技术进行持久化攻击。最近，它利用 GhostFetch 等定制恶意软件，在 Olalampo 行动中针对中东和北非地区的组织发起攻击。

伊朗APT组织

OilRig（APT34、Helix Kitten）利用网络钓鱼、Web Shell 和PowerShell对中东的能源和电信行业进行间谍活动。

APT33（Elfin，Refined Kitten）通过供应链攻击和密码喷洒攻击，攻击航空航天、能源和政府部门。UNC1549 预计在 2025 年下半年活跃，其攻击目标主要集中在国防和电信领域，与伊朗的优先事项相符。

| Threat Actor | Aliases | Primary Targets | Key TTPs nozominetworks | | — | — | — | — | | MuddyWater | APT34, OilRig | Energy, Telecom, Government | Spear-phishing, LOLBins | | OilRig | APT34, Helix Kitten | Financial, Defense | Web shells, Credential harvesting | | APT33 | Elfin | Aerospace, Energy | Password spraying, Supply chain | | UNC1549 | CURIUM | Defense, Telecom | Espionage, Disruption |

中东攻击面漏洞

中东地区的组织机构面临着较高的漏洞风险：在已发现的 2025 个漏洞中，61% 的 CVSS 评分为高危/严重级别，而全球平均水平为 48%。EPSS 评分高于 1% 的漏洞占比高达 8%，是全球平均水平的两倍。仅靠物理隔离不足以解决问题；有效的补丁管理至关重要。

近期在中东地区检测到的主要MITRE ATT&CK TTP包括滥用默认凭证（T1110）、使用有效账户（T1078）、暴力破解（T1110.001）和扫描（T1595）。这些都表明攻击者正在为未来的破坏活动进行早期侦察。

启用针对伊朗战术、技术和程序 (TTP) 的持续运营技术 (OT) 监控，并提高警报灵敏度。更新威胁情报特征，Nozomi 客户应启用实时信息流。

修复漏洞，更改默认凭证，并重新评估 IT/OT 分段。建立行业标准协议基线，并针对 MuddyWater 等机构验证检测结果。

密切关注网络流量中的低速活动。做好应对混合威胁（融合了网络风险和物理风险）的事件响应准备。能够将可视性、分段和经过验证的计划相结合的组织最能抵御此类攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《伊朗APT组织在地缘政治紧张局势加剧之际，加大对关键基础设施的网络攻击力度》