文章总结： 文档指出伊朗与美国及以色列的脆弱停火协议难以阻止亲伊朗黑客组织（如Handala）持续发动网络攻击。关键发现包括：黑客将暂停对美攻击但继续针对以色列，并计划在适当时机恢复对美行动；美国关键基础设施（如PLC系统）面临严重威胁；专家预测停火后攻击可能转向国防承包商等间接目标。建议机构及时更新安全防护措施并关注政府安全公告。 综合评分： 85 文章分类： 威胁情报,漏洞分析,应急响应,安全意识,政策法规

脆弱的停火协议不太可能长期阻止与伊朗有关的黑客发起的网络攻击

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年4月10日 09:00 中国台湾

在小说阅读器读本章

去阅读

导读

黑客誓言在时机合适时重新加大对美国的攻击——这展示了网络战如何已深深融入军事冲突。

支持德黑兰的黑客表示，伊朗与美国和以色列之间不确定的停火协议不会停止他们的报复性网络攻击。

一个名为“汉达拉” （Handala）的知名黑客组织在停火协议宣布后表示，将暂时中止对美国的攻击，但仍将继续攻击以色列。该组织誓言，时机成熟后将重启对美国的攻击——这再次表明，网络战已深深融入军事冲突之中。

目前，为期两周的停火协议似乎已因双方存在重大分歧而面临破裂的风险，双方均声称自己赢得了这场战争。

Handala是一个亲巴勒斯坦、亲伊朗的网络组织，独立于德黑兰运作。该组织声称对破坏美国医疗器械制造商史赛克（Stryker）的运营以及入侵美国联邦调查局局长卡什·帕特尔（Kash Patel）的个人电子邮件账户等一系列网络攻击事件负责。Handala只是与伊朗结盟的多个代理黑客网络之一。

美国当局周二警告称，支持伊朗的黑客已经入侵了用于自动化和控制多个重要工业领域技术的联网计算机。这些计算机被称为可编程逻辑控制器（PLC），广泛应用于港口、发电厂和水厂——这些都是外国黑客企图破坏美国日常生活的主要目标。

美国联邦调查局、国家安全局和网络安全与基础设施安全局联合发布公告，敦促使用该技术的机构确保其安全防范措施与时俱进。网络安全与基础设施安全局周三未立即回应有关停火对网络安全影响的问题。

网络安全专家表示，无论哪一方宣布暂时休战，潜在目标都应该认真对待这一警告。

Nozomi Networks的网络安全主管 Markus Mueller表示，他预计停火后针对美国机构的网络攻击将会增加，而不是减少。这是因为任何敌对行动的缓和都会让黑客将攻击目标从直接卷入冲突的地区目标转向渗透以某种方式参与战争的美国机构，其中包括数据中心、科技公司和国防承包商。

他还预测，一些总部设在伊朗或俄罗斯的组织可能会试图通过对美国目标发动重大网络攻击来规避停火协议，以吸引美国公众的注意力。

到目前为止，归咎于亲伊朗黑客的攻击数量很多，但影响较小，其目的是提振伊朗支持者的士气，同时提醒其反对者，尽管拥有军事优势，但仍然存在漏洞。

上个月，Handala声称对入侵总部位于密歇根州的大型医疗设备供应商史赛克公司负责。Handala声称，此次黑客攻击是为了报复导致伊朗学童丧生的空袭。

联邦调查局随即查封了该组织用于传播信息的四个网址。之后，Handala组织声称入侵了联邦调查局局长帕特尔的个人邮箱账户，并泄露了帕特尔的多张旧照片。

其他亲伊朗黑客与以下行动有关：在以色列人的手机上安装恶意软件；入侵中东国家的摄像头以改进伊朗的导弹瞄准；以及攻击以色列、沙特阿拉伯和科威特的数据中心和工业设施。

新闻链接：

https://www.securityweek.com/shaky-ceasefire-unlikely-to-stop-cyberattacks-from-iran-linked-hackers-for-long/

今日安全资讯速递

APT事件

Advanced Persistent Threat

1. 中东勒索黑客服务行动被追溯至南亚网络间谍组织

一个在2023年至2024年间横跨中东的定向钓鱼活动现已与Bitter APT组织相关联。

🔗https://www.infosecurity-magazine.com/news/middle-east-hack-operation-bitter/

2. 新的 STX RAT 使用隐藏的远程桌面和信息窃取功能以逃避检测

一个名为STX RAT的新发现的远程访问木马在2026年成为严重的网络安全威胁，它结合了隐藏的远程桌面访问和凭证窃取功能，以悄然破坏目标机器。

🔗https://cybersecuritynews.com/new-stx-rat-uses-hidden-remote-desktop/

3. 新钓鱼活动利用谷歌存储传递 Remcos RAT

最近观察到的钓鱼活动正在滥用 Google Cloud Storage 来分发 Remcos 远程访问木马（RAT），依靠受信任的 Google 基础设施和经过签名的 Microsoft 二进制文件来规避传统防御措施。

🔗https://gbhackers.com/phishing-campaign-exploits-google/

4. 脆弱的停火协议不太可能长期阻止与伊朗有关的黑客发起的网络攻击

黑客誓言在时机合适时重新加大对美国的攻击——这展示了网络战如何已深深融入军事冲突。

🔗https://www.securityweek.com/shaky-ceasefire-unlikely-to-stop-cyberattacks-from-iran-linked-hackers-for-long/

5.UAT-10362 利用 LucidRook 恶意软件对东亚敏感目标发起鱼叉式网络钓鱼攻击

此前未被记录的威胁集群UAT-10362被归咎于针对东亚敏感目标发起鱼叉式网络钓鱼活动，目的是部署一种名为 LucidRook 的基于 Lua 的新型恶意软件。

🔗https://thehackernews.com/2026/04/uat-10362-targets-taiwanese-ngos-with.html

一般威胁事件

General Threat Incidents

1. 勒索软件攻击荷兰医疗系统提供商 ChipSoft

荷兰领先的医疗系统提供商 ChipSoft 遭受了勒索软件攻击，引发了对全国患者数据安全的担忧。

🔗https://www.cybermaterial.com/p/ransomware-attack-on-chipsoft

2. 2026年3月网络威胁态势显示，勒索软件反弹且生成式AI风险加剧

全球攻击量开始有所缓和 2026年3月，全球网络攻击活动显示出早期缓和迹象，但仍然保持在历史较高水平。每家组织每周平均遭受的网络攻击次数达到1995次，较上个月下降4%，与2025年3月相比下降5%。

🔗https://blog.checkpoint.com/research/march-2026-cyber-threat-landscape-shows-no-relief-as-ransomware-rebounds-and-genai-risks-intensify/

3. Eurail 数据泄露事件影响了 308,777 人

黑客于2025年12月入侵Eurail，窃取了姓名和护照信息，并泄露了超过30万旅客的个人信息。威胁行为者于2025年12月入侵Eurail，并从其网络中窃取了姓名和护照号码。该公司现在通知308,777人，攻击者已泄露他们的个人数据，引发了对身份盗窃和敏感信息滥用的担忧……

🔗https://securityaffairs.com/190570/data-breach/eurail-data-breach-impacted-308777-people.html

4. 大规模数据泄露暴露337,000条与洛杉矶警察局相关的记录

一次大规模泄露事件曝光了337,000份与洛杉矶警察局（LAPD）相关的文件，引发了对第三方风险、敏感数据泄露以及执法机构网络安全漏洞的担忧。文章《大规模数据泄露曝光337,000份与LAPD相关的记录》最先发布于TechRepublic。

🔗https://www.techrepublic.com/article/news-lapd-data-breach-337k-files-exposed/

5. 黑客通过重定向付款从英国能源公司窃取70万英镑

英国一家能源公司表示，本应支付给承包商的款项被错误地转入了黑客的银行账户。

🔗https://techcrunch.com/2026/04/09/hacker-stole-700000-from-u-k-energy-company-by-redirecting-payment/

6. 比特币矿场在系统被入侵后报告360万美元加密货币被盗

比特币交易所 Bitcoin Depot 公布了一起网络攻击事件，黑客入侵其内部系统后盗取了超过 50 个比特币，价值 366 万美元。

🔗https://www.infosecurity-magazine.com/news/bitcoin-depot-dollar36m-crypto/

7. Infiniti Stealer黑客利用ClickFix社交工程攻击瞄准Mac用户

Infiniti Stealer 通过巧妙的社会工程手段针对 Mac 设备，而不是利用系统漏洞。安全公司 Malwarebytes 揭露了这一行动，突显了它如何绕过标准的防护工具。一旦入侵，该软件很容易避开检测。引人注目的是，它依赖于欺骗用户，而非突破数字防线。

🔗https://www.cysecurity.news/2026/04/infiniti-stealer-targets-mac-users-with.html

8. “数十家”高价值公司遭新型勒索团伙在客服钓鱼行动中攻击

与“浣熊先生”声称的Adobe入侵可能存在关联 一个新的勒索团伙通过钓鱼攻击和客服社会工程学针对“数十家高价值”企业。

🔗https://go.theregister.com/feed/www.theregister.com/2026/04/09/several_dozen_highvalue_corporations_targeted/

漏洞事件

Vulnerability Incidents

1. 关键 Fortinet FortiClient EMS 漏洞在网络攻击中已被积极利用

威胁情报公司Defused表示，Fortinet的FortiClient EMS平台中的一个关键漏洞正在真实攻击中被积极利用。该漏洞被追踪为CVE-2026-21643，这是一个SQL注入漏洞，影响FortiClient EMS版本7.4.4，允许未经身份验证的攻击者通过该平台的Web界面执行任意代码或命令。

🔗https://www.cysecurity.news/2026/04/critical-fortinet-forticlient-ems-flaw.html

2. Adobe Acrobat Reader 零日漏洞在活跃 PDF 攻击中被利用

Adobe Acrobat 零日漏洞正在野外被利用。文章《Adobe Acrobat Reader 零日漏洞在活跃的PDF攻击中被利用》首先发布于 Security Planet。

🔗https://www.esecurityplanet.com/threats/adobe-acrobat-reader-zero-day-exploited-in-active-pdf-attacks/

3. CISA 警告称关键 Ivanti EPMM 代码注入漏洞在攻击中被利用

美国网络安全和基础设施安全局（CISA）已就Ivanti Endpoint Manager Mobile（EPMM）中的一个关键安全漏洞发布紧急警告。该漏洞被追踪为CVE-2026-1340，机构在确认该漏洞正在真实网络攻击中被积极利用后，将其添加到其已知被利用漏洞（KEV）清单中。

🔗https://cybersecuritynews.com/ivanti-epmm-code-injection-vulnerability/

4. Ninja Forms 中的关键漏洞暴露了 WordPress 站点

Ninja Forms 通过未认证的任意文件上传实现 RCE；请立即升级至 3.3.27

🔗https://www.infosecurity-magazine.com/news/flaw-ninja-forms-wordpress/

5. 多个 SonicWall 漏洞允许 SQL 注入和权限提升攻击

SonicWall 已发布一份关键安全通告，针对影响其安全移动访问（Secure Mobile Access，SMA）1000 系列设备的四个漏洞。这些安全漏洞可能允许远程攻击者提升权限、绕过多因素认证并枚举用户凭证。最严重的漏洞 CVSS v3 评分为 7.2，因此立即打补丁成为高优先级事项…

🔗https://cybersecuritynews.com/sonicwall-vulnerabilities-sql-injection/

6. 资深执行官称他在决定向俄罗斯买家出售零日漏洞时有抑郁症和经济困难

彼得·约瑟夫·威廉姆斯是一名前L3 Trenchant高管，最近因秘密向俄罗斯中间商出售零日漏洞而被判有罪。他表示，在决定从美国雇主处窃取漏洞并卖给俄罗斯买家时，他正遭受焦虑、倦怠、多年的抑郁以及经济困难的困扰。

🔗https://www.zetter-zeroday.com/trenchant-exec-says-he-had-depression-money-troubles-when-he-decided-to-sell-zero-days-to-russian-buyer-also-new-info-reveals-nature-of-his-work-for-australian-intelligence-agency/

7. Claude 帮助研究人员挖掘出十年-old Apache ActiveMQ RCE 漏洞（CVE-2026-34197）

在人工智能助手如何帮助查找漏洞的最新演示中，Horizon3.ai 研究员 Naveen Sunkavally 使用 Claude 发现了 CVE-2026-34197，这是 Apache ActiveMQ 中一个远程代码执行漏洞，该漏洞已在代码库中存在 13 年。该漏洞已于 2026 年 3 月下旬修复，目前尚无迹象表明它正被利用…

🔗https://www.helpnetsecurity.com/2026/04/09/apache-activemq-rce-vulnerability-cve-2026-34197-claude/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《脆弱的停火协议不太可能长期阻止与伊朗有关的黑客发起的网络攻击》