以下是本周回顾：

黑客破坏了数十艘伊朗船只的通讯

一个名为“杜克特甘实验室”（Lab Dookhtegan）的黑客组织据称破坏了60艘伊朗船只的通信系统，其中包括39艘油轮和25艘货船，这些船只由受美国制裁的伊朗航运公司NITC和IRISL运营。该组织还入侵了卫星通信公司Fannava，导致其名为“猎鹰”（Falcon）的中央通信系统瘫痪，并运行破坏性指令抹去核心数据，导致这些船只“失聪”失灵。

能源部的网络安全建议

能源部发布了一份报告，记录了包括国家核安全局在内的该部门为解决其非机密网络安全计划中的网络安全漏洞而采取的行动，这些漏洞是在2024财年发现的。报告发现，在之前的63项审计建议中，只有19项已经结案，还有44项之前的建议仍然悬而未决。本财年发布了79项新建议。

马里兰州正在调查网络攻击

马里兰州交通管理局(MTA)正在调查一起影响其部分运营和信息系统以及呼叫中心的网络攻击事件。MTA表示，黑客入侵了其系统，但并未透露事件影响范围。此次攻击于8月25日披露，就在内华达州宣布黑客入侵其系统之前。

Atlassian、Chrome、思科补丁

Atlassian发布了安全更新，修复了其Bamboo、Bitbucket和Crowd数据中心及服务器产品中的八个漏洞。思科发布了针对其产品中十几个漏洞的修复程序，其中包括两个高危漏洞。谷歌更新了Chrome浏览器，以修复ANGLE中一个严重的释放后使用漏洞（编号为CVE-2025-9478）。

黑客瞄准ScreenConnect超级管理员凭证

Mimecast警告称，一项旨在窃取ScreenConnect管理员凭据的小规模网络钓鱼活动已出现。该活动至少自2022年以来一直活跃，且基本未被发现，其目标是在ScreenConnect环境中拥有高权限的董事、经理和安全人员。Abnormal在另一份报告中透露，已有900个组织因部署ScreenConnect进行远程访问而成为网络钓鱼攻击的目标。

谷歌通过开发者验证提高Android设备安全性

为了提高已认证Android设备的安全性，Google将要求所有已安装的应用程序必须由经过验证的开发者注册。虽然这不会要求开发者通过Google Play分发其应用程序，但它将阻止安装非经过验证的开发者开发的应用程序，从而从根本上防止恶意软件感染。全新的Android开发者控制台将面向仅在GooglePlay之外分发应用程序的开发者开放。该要求将于2026年9月在巴西、印度尼西亚、新加坡和泰国生效。

黑客利用人工智能窃取数据

Anthropic观察到网络犯罪分子使用其Claude Code AI工具进行大规模数据窃取和勒索。该工具被用于侦察、凭证收集、网络渗透以及制定赎金要求。Anthropic在其2025年8月威胁情报报告中解释称，至少有17个来自多个行业的组织受到影响。

网络钓鱼活动利用UpCrypter恶意软件植入器瞄准组织

据Fortinet报道，一项新的网络钓鱼活动利用现成的工具发送令人信服的电子邮件，将用户重定向到分发UpCrypter的虚假网站，而UpCrypter则会部署PureHVNC、DCRat和Babylon RAT等后门程序。这些以经济为目的的攻击利用各种机制逃避检测，其目标包括建筑、医疗保健、制造、零售、科技和其他行业。

ShadowSilk再次瞄准亚洲政府

一个名为YoroTrooper的间谍组织与哈萨克斯坦有关联，正在对中亚和亚太地区的政府实体发动大规模攻击。据Group-IB报告，该活动被追踪为ShadowSilk，至少自2023年以来一直活跃，在2025年1月公开曝光后有所减弱，但于2025年6月在新的基础设施上重新开始。目前已确认超过35名受害者。

Securden Unified PAM中发现严重漏洞

Rapid7公布了Securden Unified PAM中四个漏洞的详细信息，其中包括两个严重级别漏洞，允许攻击者绕过身份验证(CVE-2025-53118)，窃取密码、机密信息和应用程序会话令牌；以及将文件上传到服务器配置和Web根目录(CVE-2025-53120)，从而获取远程代码执行权限。所有四个安全缺陷均已修复。

黑客破坏了数十艘伊朗船只的通讯

几个月来， Lab-Dookhtegan一直在系统性地攻击伊朗的基础设施。3月份对116艘船只的袭击就证明了这一点。他们分享的8月份行动证据也令人震惊：64艘船只与外界断绝联系，导航系统被彻底摧毁，数据破坏极其彻底，一些船只可能离线数月之久。

该组织袭击了伊朗受制裁的航运巨头伊朗国家贸易公司（NITC）和伊朗伊斯兰共和国航运公司（IRISL）旗下的39艘油轮和25艘货船。尽管他们给媒体的标题是“船舶通讯中断”，但技术证据却揭示了一个更加黑暗的故事。

一起到底发生了什么。

黑客并没有直接攻击船只。这几乎不可能——你需要入侵分布在全球的数十艘船只。相反，他们找到了更好的选择：Fanava 集团，一家伊朗 IT 公司，恰好为整个船队提供卫星通信服务。

法纳瓦

他们分享的截图显示，运行 iDirect 卫星软件（版本 2.6.35）的 Linux 终端拥有 root 权限，而这个版本按照网络安全标准来说已经过时了。我们讨论的这个软件太老了，已知漏洞可能比老IE浏览器还要多。

有趣的是，他们并非只是装了一个系统就完事了。数据库转储显示，他们绘制了整个舰队的地图——逐艘船只、逐个调制解调器。查看MySQL查询，查询“图斯卡号”、“马赫南号”、“扎迪斯号”以及其他数十艘船只的记录。每条记录都包含船只的调制解调器序列号、网络ID和所有设备。这就像拥有了伊朗海上通信网络的完整蓝图。

进入舰内后，黑客们开始攻击一种名为“猎鹰”的软件——一种维持卫星链路畅通的软件。它可以说是舰上通讯系统的核心。一旦“猎鹰”停止运行，舰上就一片漆黑。岸上的电子邮件收不到，天气预报也收不到，港口协调也收不到，什么都没有。

但电子邮件日志实际上揭示了以下信息——而且意义重大：时间戳可以追溯到5月和6月。这意味着Lab-Dookhtegan并非在3月份发动袭击后就逃逸。他们已经连续5个月潜伏在伊朗海上网络中。在此期间，他们一直拥有持续的访问权限，可以随时开启和关闭系统，并且可能监控了所有通过的通信。

可以看到的“节点宕机通知”警报来自这几个月来的不同时间点——他们在测试他们的控制力，确保他们仍然掌握着钥匙。但这次，在8月份，他们不仅仅是测试。他们发动了猛烈的攻击。

海上焦土

攻击者不仅想扰乱运营，还想造成永久性损害。发现了一些显示系统性数据破坏的命令：

dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M

对于非技术读者来说，这无异于用锤子砸碎飞船的通讯设备。他们用零覆盖了六个不同的存储分区。一切都消失了——导航日志、消息存档、系统配置，甚至连可以远程修复系统的恢复分区都消失了。