Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Задна вратичка на Dindoor

Задна вратичка на Dindoor

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT), Задни вратиг
Превод на:

Проучване на информация за заплахи разкри доказателства за кибероперация, съгласувана с иранската държава, която успешно се е внедрила в мрежите на няколко организации в Северна Америка. Засегнатите организации включват банки, летища, организации с нестопанска цел и израелския клон на софтуерна компания, обслужваща отбранителния и аерокосмическия сектор.

Кампанията се приписва на MuddyWater, известна още като Seedworm, група за заплахи, свързана с Министерството на разузнаването и сигурността на Иран (MOIS). Разследващите смятат, че операцията е започнала в началото на февруари 2026 г. Мрежова активност, свързана с кампанията, се появява малко след военни удари, извършени от Съединените щати и Израел срещу Иран, което предполага потенциален геополитически спусък зад киберактивността.

Особено внимание изглежда е насочено към израелското подразделение на доставчика на софтуер, обект на атака. Компанията доставя решения за множество индустрии, включително отбранителна и аерокосмическа, което я прави стратегически ценна цел за събиране на разузнавателна информация и потенциални смущения.

Dindoor: Новооткрита задна вратичка, използваща Deno

Анализатори по сигурността, изследващи проникванията, идентифицираха внедряването на недокументирана досега задна врата, наречена Dindoor. Зловредният софтуер използва JavaScript средата за изпълнение на Deno като част от своята среда за изпълнение, сравнително рядка техника, която може да помогне на зловредния софтуер да избегне откриването си в традиционните системи за наблюдение на сигурността.

Атаките, включващи доставчика на софтуер, американска банкова институция и канадска организация с нестопанска цел, изглежда са послужили като входни точки за инсталиране на тази задна вратичка.

Идентифицирани са и доказателства за опит за извличане на данни. Разследващите са наблюдавали използването на помощната програма Rclone за прехвърляне на информация от средата на компрометираната софтуерна компания към облачно хранилище, хоствано на Wasabi. Към момента на анализа не е било ясно дали опитът за извличане на данни е бил успешен.

Fakeset Backdoor се появява в допълнителни компрометирани мрежи

Отделен компонент на зловреден софтуер, известен като Fakeset, написан на Python, беше открит в мрежите на американско летище и друга организация с нестопанска цел. Тази задна вратичка беше извлечена от инфраструктура, свързана с Backblaze, доставчик на облачно съхранение и архивиране, базиран в САЩ.

Злонамереният полезен товар е бил цифрово подписан с помощта на сертификат, който преди това е бил свързан с две други семейства зловреден софтуер, Stagecomp и Darkcomp, и двете исторически свързани с операциите на MuddyWater.

Изследователите на заплахи са идентифицирали образци на зловреден софтуер, носещи следните сигнатури, свързани с екосистемата MuddyWater:

  • Троянски кон:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Въпреки че самите Stagecomp и Darkcomp не бяха открити в компрометираните мрежи, изследвани в това разследване, повторното използване на един и същ цифров сертификат силно предполага участието на един и същ злонамерен персонаж, което подкрепя приписването на Seedworm.

Разширяване на иранските кибервъзможности и тактики за социално инженерство

Иранските киберпрестъпници значително подобриха оперативните си възможности през последните години. Разработването и инструментите им за злонамерен софтуер станаха по-сложни, което им позволи по-скрито действие и по-ефективно странично движение в мрежите на жертвите.

Също толкова забележително е разширяването на техните стратегии за атаки, фокусирани върху хора. Иранските оператори демонстрираха все по-напреднали методи за социално инженерство, включително силно насочени фишинг кампании и дългосрочни операции с „капан“, предназначени да изградят доверие с лица, представляващи интерес. Тези тактики често се използват за получаване на достъп до акаунти или извличане на чувствителна информация.

Наблюдение чрез уязвими камери

Паралелни разследвания разкриха, че други свързани с Иран хакерски групи активно проучват свързани с интернет устройства за наблюдение. Един такъв участник, Агриус, известен още с псевдонимите Agonizing Serpens, Marshreader и Pink Sandstorm, е наблюдаван да сканира за уязвима инфраструктура за видеонаблюдение.

Изследователи са документирали опити за експлоатация, насочена към камери и видеодомофонни системи Hikvision чрез известни уязвимости. Тези дейности се засилиха на фона на продължаващия конфликт в Близкия изток, особено в Израел и няколко държави от Персийския залив.

Кампанията е фокусирана върху използването на уязвимости, засягащи оборудването за наблюдение от Dahua и Hikvision, включително:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Анализаторите по сигурността смятат, че подобни компромиси могат да подпомогнат събирането на военно разузнавателна информация, включително оперативно наблюдение и оценка на бойните щети (BDA), свързани с ракетни операции. В някои случаи проникване в камерите може да се случи преди изстрелванията на ракети, за да се подпомогне насочването или наблюдението на резултатите.

Киберактивността като предвестник на кинетичните операции

Координираното насочване към инфраструктурата за наблюдение е в съответствие с дългогодишните оценки, че иранската кибердоктрина интегрира цифровото разузнаване в по-широкото военно планиране. Компрометираните камери могат да предоставят визуална информация в реално време и ситуационна осведоменост.

Следователно, наблюдението на сканиращата активност и опитите за експлоатация на инфраструктурата на камерите, свързана с известни ирански киберактиви, може да послужи като ранен предупредителен сигнал за потенциални последващи кинетични операции.

Нарастващи рискове от киберотмъщение

Ескалиращият конфликт между Съединените щати, Израел и Иран увеличи риска от киберответствия. В отговор на нарастващия пейзаж на заплахите, Канадският център за киберсигурност (CCCS) издаде предупреждение, че Иран вероятно ще използва киберспособностите си срещу критична инфраструктура и ще провежда операции за влияние или информация, за да постигне стратегически интереси.

Тези развития подчертават нарастващата роля на киберпространството като паралелно бойно поле по време на геополитически конфликти, където шпионажът, разрухата и събирането на разузнавателна информация все по-често съпътстват традиционните военни действия.

Тенденция

Stratochainedge.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Поддържането на повишено внимание при сърфиране в интернет е от решаващо значение, тъй като киберпрестъпниците непрекъснато разработват измамни техники, за да експлоатират нищо неподозиращи...

Документът е споделен с вас в имейл измама на...

Фишинг, Спам
Неочакваните имейли, които настояват за незабавни действия, винаги трябва да се третират с повишено внимание. Киберпрестъпниците често маскират злонамерени съобщения като легитимни известия, за да подведат получателите да разкрият чувствителна информация. Бдителността при преглед на имейли, особено тези, изискващи идентификационни данни за вход, е от съществено значение за предотвратяване на...

Най-гледан

Зловреден софтуер

Фишинг, Спам
21,830
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...