场景:2026年6月,正值伊朗与美伊和谈关键时期,伊朗某主要银行核心系统遭APT组织入侵,导致卡系统、ATM终端及手机App全部瘫痪。事件被怀疑与地缘政治相关的国家级黑客组织有关。
攻击 / 事件时间线
初始访问:供应链投毒+鱼叉钓鱼
攻击者通过入侵该银行合作的第三方支付网关供应商,在合法的软件更新包中植入后门(CVE-2026-52813变种)。同时,向银行IT运维人员发送伪装成央行监管通知的鱼叉邮件,附件携带恶意宏文档。部分未打补丁的终端在打开文档后,执行PowerShell脚本下载Cobalt Strike Beacon,建立与C2的加密通信隧道。
Cobalt Strike恶意宏文档供应链投毒
横向移动与权限维持
利用Beacon获取的初始权限,攻击者使用Mimikatz抓取域管理员凭据,通过PsExec和WMI在域内横向扩散。重点目标是核心交易数据库服务器和ATM前置机(ATMP)。部署了自定义的持久化服务,伪装成银行监控进程(svchost.exe),并修改了AD域策略,使安全软件失效。
MimikatzPsExecWMI
执行破坏:逻辑炸弹与数据擦除
在确认控制核心系统后,攻击者于凌晨2:00(业务低峰期)触发逻辑炸弹。首先,通过SQL注入漏洞(或直接利用数据库管理员权限)删除核心交易表,并执行自定义的磁盘擦除工具(类似Shamoon变种),覆盖ATM服务器和核心交换机固件。同时,攻击者控制了短信网关,向所有持卡人发送虚假的“系统维护”通知,掩盖故障。
Shamoon变种SQL注入逻辑炸弹
蓝队视角 · 发现与处置
蓝队(SOC)在凌晨2:05通过核心交易监控仪表盘发现交易量断崖式归零,并伴随大量磁盘I/O告警。初步研判非普通故障,遂启动应急响应。通过检查Sysmon日志(事件ID 11、3),发现大量异常文件创建和驱动加载行为。溯源后,在第三方更新包中提取到恶意DLL。应急处置:立即切断核心交易网段与外部网络连接,启动离线备份恢复,同时向监管机构上报并发布公众预警。
涉及关键技术 / 工具
CVE-2026-52813后门利用Mimikatz凭证窃取与横向扩散Shamoon变种数据擦除
防护经验总结
- 供应链安全审查:对第三方供应商进行强制安全审计,实施最小权限原则,并建立独立的更新包沙箱检测环境。
- 关键系统隔离:核心交易数据库、ATM前置机等关键设施必须与办公网、互联网物理隔离,并部署严格的白名单访问控制。
- 备份与恢复演练:定期进行异地离线备份恢复演练,确保在数据擦除攻击下,核心业务可在4小时内恢复运行。
#APT攻击#关键基础设施#数据擦除#供应链安全#伊朗