文章总结： 伊朗关联黑客组织Handala对全球医疗器械领导者Stryker发动破坏性攻击，通过滥用MicrosoftIntune远程擦除79国设备数据，攻击前窃取50TB数据。攻击利用合法企业工具而非传统恶意软件，包括GPO擦除器、PowerShell脚本和VeraCrypt加密。这是美以冲突后伊朗最重大网络攻击，展示其网络能力的成熟。 综合评分： 86 文章分类： 威胁情报,安全大事件,漏洞分析,恶意软件,实战经验

动机和地缘政治背景

汉达拉声称，此次袭击是对美国在美以联合军事行动期间用战斧导弹袭击伊朗米纳布沙杰雷·塔伊贝小学的报复。伊朗国家媒体和目击者称，袭击造成165人死亡，其中大部分是7至12岁的女孩。美国内部军事调查认定，美国“很可能对此负责”，并可能误击了这所学校。

史赛克公司之所以成为攻击目标，也因为其被认为与美国军方和以色列商业关系密切。该公司目前持有美国国防部的合同，并在2019年收购了以色列医疗技术公司Orthospace。值得注意的是，“史赛克”（Stryker）也是美国陆军使用的一种装甲战车的名称。CyberScoop的分析师认为，这种巧合可能是导致史赛克成为攻击目标的原因之一，但这一说法尚未得到证实。

伊朗伊斯兰革命卫队此前已发出正式警告，将对与以色列有关联或其技术支持军事行动的美国公司的办公室和基础设施进行攻击，并明确点名了谷歌、Palantir、微软、IBM、英伟达和甲骨文等公司。尽管此次“斯特瑞克”装甲车袭击事件带有一定的机会主义色彩，但其立场与伊朗此前的声明相符。

多位分析师警告不要将 Stryker 攻击事件完全解读为战略性攻击。谢尔盖·希克维奇表示：“这次攻击的规模远超我们对 Handala 的预期……不幸的是，这或许可以算作他们一次相对成功的攻击。”他和 Sublime Security 的威胁情报主管亚历克斯·奥尔良都指出，Handala 更擅长利用系统漏洞，而不是系统性地攻击特定目标。

奥尔良指出，冲突初期，伊朗的网络活动受到压制，可能是因为网络操作员“躲在掩体里”，而且伊朗还遭受了地面打击导致的互联网中断。此次“斯特瑞克”装甲车攻击或许标志着伊朗网络态势的重新崛起，而非一项精心策划的战略行动。

Proofpoint 的高级威胁研究员 Saher Naumaan 指出：“由于冲突才持续了几个星期，而且伊朗方面行动的节奏并不稳定……我们没有足够的数据点或足够的时间来真正做出判断。”

尽管这种行为带有一定的投机性质，但其心理影响却是真实存在的。ExtraHop联邦战略高级总监、前美国空军网络军官莎拉·克利夫兰指出：“上班时发现工作站上挂着伊朗国旗，会让人感到有些不安，因为他们是在告诉你‘我可以触及你’。”

威胁行为者概况 — HANDALA 黑客攻击 / VOID MANTICORE

活跃基础设施

公开网站：handala-hack[.]to（主要泄露/声明网站），x[.]com/@HPRNEW

目标范围

国家：以色列（主要）、美国、英国、约旦、沙特阿拉伯、伊朗

重点行业：医疗设备制造、医院及医疗保健、国防及航天、军工产业、核能研究、政府及公共部门、石油及天然气、金融服务、航空航天、能源及公用事业、运输及物流、网络及电信、教育、保险、法律服务、软件开发（共计37个以上行业）

其他已知受害者

摩萨德、以色列国防军、以色列空军、辛贝特、索雷克核研究中心、西蒙·佩雷斯内盖夫核研究中心、魏茨曼科学研究所、沙特阿美、克拉利特医疗服务、谢巴医疗中心、贝泽克、德雷克集团、SpaceCom、Verifone、i24新闻、阿尔巴尼亚议会（电子邮件系统，2026年3月）、波兰核研究设施（尝试，2026年3月）。

轨迹

2023年9月：

首次有记录的活动；重点针对以色列平民和金融目标。

2024年5月：

Handala Hack品牌正式成立

拓展至西方企业和政府目标客户；stryker.com已预先列入目标投资组合

2024-2025年：

针对核研究中心、以色列国防军、摩萨德、辛贝特、沙特阿美等机构的高调攻击；工具包日趋成熟，包含NetBird隧道技术和人工智能辅助的PowerShell擦除器。

2026年3月：

斯特瑞克装甲车袭击——迄今为止该组织发动的规模最大、最具全球破坏性的袭击事件；同时对阿尔巴尼亚和波兰核设施发动袭击

攻击分类

多方法破坏性擦除攻击 + 数据窃取 + 移动设备管理滥用 + 篡改

这是一次精心策划、采用多种手段的破坏性行动。与勒索软件攻击不同，勒索软件攻击理论上可以通过获取解密密钥来恢复数据，而已被擦除的数据则无法恢复。恢复完全依赖于备份的完整性。

已确认和评估的攻击链

关键网络IOC

伊朗国家及其代理人已证实具备使用Wiper攻击的能力。Stryker攻击事件也清晰地体现了这种攻击模式：

1. 沙蒙（2012）：
2. 伊朗黑客摧毁了沙特阿美公司超过3万个系统，而这家公司此前也曾是汉达拉黑客组织的目标。
3. Shamoon 2（2016-2017）：
4. 重新启动，针对沙特目标
5. ZeroClear（2019）：
6. 与MOIS关联的雨刷器瞄准中东能源行业
7. 当前冲突（2026）：
8. 汉达拉/虚空曼提科尔如今对西方目标施展同样的破坏性战术，这表明伊朗的“抹杀器”能力日趋成熟，且地理范围不断扩大。

MITRE ATT&CK 地图

数据泄露风险

据称泄露的50TB数据量极其庞大。如果属实，潜在内容包括：国防部合同文件及相关通信记录、内部研发和设备设计文件、员工个人身份信息和人事记录、医院/医疗保健客户数据、财务记录以及采购相关文件（包括Orthospace数据）。

据称，这些数据由 Handala 持有，并将按照其有据可查的黑客攻击和泄露策略进行发布或利用。

参考资料：1.FalconFeeds.io：威胁行为者情报（TA-DC6707135AC64903；TA-8ED6C60409CDB834）；2.Kim Zetter，Zetter Zero Day：“伊朗黑客对医疗器械制造商 Stryker 发起‘严重’攻击，系统数据被清除”；3.Danny Tran，澳大利亚广播公司新闻：“伊朗黑客攻击医疗技术公司 Stryker 后，澳大利亚医院进入警戒状态”；4.Safestate：“Handala 数据清除攻击导致 Stryker 在 79 个国家/地区离线”；5.Check Point Research：“‘Handala 黑客攻击’——揭示该组织的作案手法”；6.Tim Starks 和 Drew F. Lawrence，CyberScoop：“Stryker 攻击凸显了在美以冲突背景下伊朗网络活动的模糊性”；7.MITRE ATT&CK 框架

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《伊朗关联黑客组织Handala攻击Stryker 技术分析》