伊朗加密货币交易所Nobitex遭黑客攻击

M01NTeam 09月12日

6月18日，伊朗最大加密货币交易所Nobitex遭受亲以色列黑客组织“Gonjeshke Darande”攻击，超过9000万美元被转移至黑客账户。攻击者声称Nobitex是伊朗恐怖活动的金融工具，并威胁公开其源代码和内部信息。此外，Nobitex多名员工被窃密器感染，导致凭据泄露，为攻击者提供入侵通道。绿盟科技分析显示，窃密器攻击是导致凭据泄露的关键环节，企业应加强情报监控和威胁检测以防御此类攻击。

🔍 伊朗最大加密货币交易所Nobitex遭受亲以色列黑客组织“Gonjeshke Darande”攻击，超过9000万美元被转移至黑客账户。

🔒 攻击者声称Nobitex是伊朗恐怖活动的金融工具，并威胁公开其源代码和内部信息。

🕵️‍♂️ 多名Nobitex员工被窃密器感染，导致凭据泄露，为攻击者提供入侵通道。

🛡️ 绿盟科技分析显示，窃密器攻击是导致凭据泄露的关键环节。

🔧 企业应加强情报监控和威胁检测以防御此类攻击。

原创天元实验室 2025-06-20 18:06 北京

6 月 18 日，伊朗最大的加密货币交易所 Nobitex 受到了亲以色列黑客组织的攻击，据有相关组织统计，已经确定超过 9000 万美元从 Nobitex 钱包发送到黑客钱包地址。

01 以色列黑客攻击加密货币交易所 Nobitex

“Gonjeshke Darande”黑客组织声称对此次攻击负责，并声称在 24 小时内公开 Nobitex 的源代码和其内部网络的内部信息。“Gonjeshke Darande”认为 Nobitex 交易所是伊朗在全球恐怖活动的金融工具，也是最常用规避美国制裁的手段之一。除此次攻击外，该组织还声称对6月17日伊朗国有银行 Bank Sepah 的黑客攻击负责。

Nobitex 是伊朗主要的加密货币交易所，据称拥有超过 700 万用户，根据开源情报显示，Nobitex 与伊朗政府和伊斯兰革命卫队（IRGC）有联系。“IRGC”是指伊斯兰革命卫队（Islamic Revolutionary Guard Corps），是伊朗军队的一个独立军事实体。它受到包括美国、加拿大、英国和欧盟在内的多个司法管辖区的制裁并被认定为恐怖组织。

在这起严重的网络攻击背后隐藏着一个被忽视的关键细节：多名 Nobitex 员工曾被窃密器感染，泄露了企业系统登录凭据，使攻击者有可能进入 Nobitex 的内部系统。

02 Nobitex 凭据泄露为攻击组织敞开大门

绿盟科技C情报小组检测到多种类型的窃密器泄露情报，通过对 Nobitex 的泄露凭据情报数据分析，有超过1000个员工和用户的凭据被泄露，主要包含员工登录重要业务系统、Nobitex 用户登录凭据泄露，凭据的泄露显著增加了 Nobitex 的攻击面。

凭据泄露系统

泄露 URL 地址

泄露数量

邮件系统凭据泄露

bitex-mail.nobitex.net/owa

10+

测试系统凭据泄露

testnet.nobitex.net/signup

10+

管理系统凭据泄露

admin.nxbo.ir/login

jira 系统凭据泄露

jira.nxbo.ir

nobitex 用户凭据泄露

nobitex.net

1000+

其他内部系统

fish.nxbo.ir、hd.nxbo.ir、ss.nxbo.ir

10+

最主要的是 Nobitex 三名登录过邮件系统、内部系统、管理系统、jira系统的员工感染了 Redline 和 LUMMA 窃密器，导致员工终端上登录的各类业务系统的凭据、Cookie泄露。

第一个员工感染窃密器时间最久，窃密器获取了该用户 Chrome 和 Firefox 浏览器中保存的登录系统的凭据，从泄露凭据数据上可以看出明显的密码复用和密码规则，该用户凭据泄露能够给黑客组织的凭据复用攻击、撞库攻击提供极大帮助。

第二个员工感染的是 Redline 窃密器，主要泄露了登录 Nobitex 邮件系统和 jira 系统的凭据，泄露凭据数据显示该员工还使用miro白板系统，可能是 Nobitex 的开发人员。根据相关机构推测，jira 系统凭据可能帮助了黑客入侵。

同时，近期利用 jira 系统凭据攻击的事件屡见不鲜。

第三个员工泄露数据和第一个员工基本相似，不在额外说明。

除了掌握的凭据情报外，根据黑市情报显示，黑市上也有大量 Nobitex 的凭据正在售卖，这些数据黑客组织触手可得，给企业带来了极大的安全风险。

对于任何企业来说，凭据泄露不会因为已经发生的攻击事件或安全处置而终止，而是在持续发生，最近一次观察到 Nobitex 凭据泄露是在 6 月11 日。

03 攻击链的致命第一环：窃密器攻击导致的凭据泄露

窃密器攻击的主要流程是：通过钓鱼、恶意网站、恶意软件等方式投递窃密器到目标主机，之后窃密器在主机上收集凭据数据并发送给攻击者，攻击者收到到凭据数据后，通常会放在黑市售卖，用于售卖给其他攻击组织，如勒索组织，或直接和勒索组织合作，帮助攻击组织快速进入企业内部网络。

企业员工被感染窃密器后，攻击者会掌握企业业务系统的登录权限甚至可以绕过多因素认证，会给企业带来极大风险。

在当下的网络威胁中，无论是勒索软件攻击、账户劫持，还是供应链渗透，弱口令、重复口令、被泄露凭据都为攻击者大开方便之门。据Verizon近日发布的《数据泄露调查报告》（DBIR）显示，凭据滥用已超过漏洞利用和钓鱼攻击，成为最主要的入侵手段。

04 如何防御窃密器攻击

主动防御：通过情报监控常态化监控

绿盟科技暗网威胁情报评估服务结合真实网络环境的威胁监控，实时跟踪攻击组织在公开及私密渠道中的泄露情报。依托独有的技术手段与情报来源，持续收集各类信息窃密器泄露的凭据情报，并与其他暗网情报进行整合与交叉验证。从凭据泄露、失陷主机、漏洞利用、黑市交易等多维度深入分析，全面评估企业在暗网中的威胁暴露面及潜在攻击风险，并在识别到高风险攻击活动时及时发出预警。

威胁检测：通过安全产品中集成情报及窃密器检测规则

在终端侧威胁检测产品中集成窃密器的检测规则，从终端上发现被感染的主机和人员；在安全运营平台产品上加入窃密器情报，如窃密器C2地址等，及时发现可能的窃密器攻击。

附录

[1] https://x.com/GonjeshkeDarand/status/1935231018937536681

[2] https://wublock.substack.com/p/current-status-of-irans-local-cryptocurrency

[3] https://miro.com/index/

[4] https://www.infostealers.com/article/nobitex-breach-infostealers-expose-critical-employee-credentials-in-latest-crypto-exchange-hack/
[5] https://www.elliptic.co/blog/iranian-crypto-exchange-nobitex-hacked-pro-israel-group

[6] https://wublock.substack.com/p/current-status-of-irans-local-cryptocurrency

[7] https://proton.me/blog/infostealers

[8] https://www.verizon.com/business/resources/T3a5/reports/2025-dbir-data-breach-investigations-report.pdf

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群