ZionSiphon恶意软件

通过Mezo在恶意软件

翻译为：

网络安全分析师发现了一种名为 ZionSiphon 的新型恶意软件，该软件专门针对以色列的水处理和海水淡化设施。这一事态发展表明，针对关键基础设施（尤其是工业运营技术 (OT) 环境）的网络攻击活动正在令人担忧地升级。

ZionSiphon恶意软件于2025年6月29日首次在网络上被发现，就在伊朗和以色列之间的十二日战争（2025年6月13日至24日）之后不久。其出现的时间表明可能存在地缘政治动机，这与地区冲突后更广泛的网络活动模式相吻合。

尽管该恶意软件似乎仍处于未完成或开发阶段，但它已展现出多种高级功能。这些功能包括权限提升、持久化机制、基于 USB 的传播以及针对工业控制系统 (ICS) 的定向扫描。值得注意的是，它还包含旨在操纵氯含量和压力控制（水处理过程中的关键参数）的破坏性功能。

ZionSiphon 采用双条件激活机制，确保仅在高度特定的情况下执行。该恶意软件仅在满足以下两个条件时才会激活其有效载荷：

受感染的系统位于预定义的以色列IPv4地址范围内。
该环境符合水处理或海水淡化系统的相关特征。

目标IP地址范围包括：

2.52.0.0 – 2.55.255.255
79.176.0.0 – 79.191.255.255
212.150.0.0 – 212.150.255.255

此外，恶意软件中嵌入的字符串提及以色列的基础设施，进一步强化了其目标范围狭窄的性质。代码中的政治信息表达了对伊朗、巴勒斯坦和也门的支持，更突显了此次攻击活动的意识形态倾向。

在有效条件下执行后，ZionSiphon 将启动对本地子网设备的侦察和交互。它尝试使用 OT 环境中常见的多种工业协议进行通信：

其中，Modbus相关功能似乎最为成熟，而对DNP3和S7comm的支持仍处于部分实现阶段。这表明相关开发和测试工作仍在进行中。

该恶意软件还会篡改本地配置文件，特别是针对控制氯投加量和系统压力的参数。这种篡改可能会扰乱水处理流程，对基础设施完整性和公共安全构成潜在风险。

ZionSiphon 的一个显著特点是它能够通过可移动介质传播，从而在可能与外部网络隔离的环境中实现横向移动。这种技术与早期针对工业控制系统 (ICS) 的攻击策略类似。

然而，如果恶意软件判定宿主系统不符合其目标定位标准，则会启动自我删除程序。这种行为可最大限度地降低被检测到的风险，并将影响范围限制在预期目标之外。

尽管设计先进，但当前样本仍存在关键缺陷。具体而言，即使在定义的 IP 地址范围内运行，它也无法正确验证自身的地理定位条件。这种不一致表明存在以下几种可能性：故意停用、配置错误或开发尚未完成。

然而，ZionSiphon 的架构设计反映了一种更广泛的趋势。威胁行为者越来越多地尝试多协议工业控制系统 (ICS) 操控、在运营技术 (OT) 环境中进行持久访问，以及针对物理隔离系统量身定制的传播方法。这些特征与以往针对工业基础设施的国家级网络攻击活动中观察到的策略非常相似。

ZionSiphon 不仅仅是一个恶意软件实例，它还凸显了全球关键基础设施面临的不断演变的威胁形势。即使其形态尚不完整，也展现了攻击者蓄意将地缘政治意图与高超技术相结合的意图，这更加凸显了在工业环境中加强安全控制的迫切性。

搜索