Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Dindoor Backdoor

Dindoor Backdoor

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:

Η έρευνα πληροφοριών για απειλές αποκάλυψε στοιχεία για μια κυβερνοεπιχείρηση με ιρανικό κράτος, η οποία ενσωματώθηκε με επιτυχία στα δίκτυα αρκετών οργανισμών σε όλη τη Βόρεια Αμερική. Οι επηρεαζόμενες οντότητες περιλαμβάνουν τράπεζες, αεροδρόμια, μη κερδοσκοπικούς οργανισμούς και το ισραηλινό υποκατάστημα μιας εταιρείας λογισμικού που εξυπηρετεί τους τομείς της άμυνας και της αεροδιαστημικής.

Η εκστρατεία έχει αποδοθεί στην MuddyWater, γνωστή και ως Seedworm, μια ομάδα απειλών που συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Οι ερευνητές εκτιμούν ότι η επιχείρηση ξεκίνησε στις αρχές Φεβρουαρίου 2026. Η δραστηριότητα δικτύου που συνδέεται με την εκστρατεία εμφανίστηκε λίγο μετά τις στρατιωτικές επιθέσεις που διεξήγαγαν οι Ηνωμένες Πολιτείες και το Ισραήλ εναντίον του Ιράν, υποδηλώνοντας μια πιθανή γεωπολιτική αιτία πίσω από την κυβερνοδραστηριότητα.

Ιδιαίτερη προσοχή φαίνεται να έχει δοθεί στο ισραηλινό τμήμα του στοχευμένου παρόχου λογισμικού. Η εταιρεία παρέχει λύσεις σε πολλούς κλάδους, συμπεριλαμβανομένης της άμυνας και της αεροδιαστημικής, καθιστώντας την στρατηγικά πολύτιμο στόχο για τη συλλογή πληροφοριών και πιθανές διαταραχές.

Dindoor: Ένα πρόσφατα αναγνωρισμένο Backdoor που αξιοποιεί το Deno

Οι αναλυτές ασφαλείας που εξέτασαν τις εισβολές εντόπισαν την ανάπτυξη ενός προηγουμένως μη καταγεγραμμένου backdoor που ονομάζεται Dindoor. Το κακόβουλο λογισμικό χρησιμοποιεί το περιβάλλον εκτέλεσης Deno JavaScript ως μέρος του περιβάλλοντος εκτέλεσης, μια σχετικά ασυνήθιστη τεχνική που μπορεί να βοηθήσει το κακόβουλο λογισμικό να αποφύγει την ανίχνευση σε παραδοσιακά συστήματα παρακολούθησης ασφαλείας.

Οι επιθέσεις που αφορούσαν τον προμηθευτή λογισμικού, ένα αμερικανικό τραπεζικό ίδρυμα και έναν καναδικό μη κερδοσκοπικό οργανισμό φαίνεται να χρησίμευσαν ως σημεία εισόδου για την εγκατάσταση αυτού του backdoor.

Εντοπίστηκαν επίσης στοιχεία απόπειρας εξαγωγής δεδομένων. Οι ερευνητές παρατήρησαν τη χρήση του βοηθητικού προγράμματος Rclone για τη μεταφορά πληροφοριών από το περιβάλλον της εταιρείας λογισμικού που είχε παραβιαστεί σε έναν κάδο αποθήκευσης cloud που φιλοξενούνταν στο Wasabi. Κατά τη στιγμή της ανάλυσης, παρέμενε ασαφές εάν η προσπάθεια εξαγωγής δεδομένων ήταν τελικά επιτυχής.

Το Fakeset Backdoor εμφανίζεται σε επιπλέον παραβιασμένα δίκτυα

Ένα ξεχωριστό στοιχείο κακόβουλου λογισμικού, γνωστό ως Fakeset, γραμμένο σε Python, εντοπίστηκε στα δίκτυα ενός αεροδρομίου των ΗΠΑ και ενός άλλου μη κερδοσκοπικού οργανισμού. Αυτό το backdoor ανακτήθηκε από υποδομή που σχετίζεται με την Backblaze, έναν πάροχο αποθήκευσης cloud και δημιουργίας αντιγράφων ασφαλείας με έδρα τις ΗΠΑ.

Το κακόβουλο φορτίο υπογράφηκε ψηφιακά χρησιμοποιώντας ένα πιστοποιητικό που έχει προηγουμένως συνδεθεί με δύο άλλες οικογένειες κακόβουλου λογισμικού, την Stagecomp και την Darkcomp, οι οποίες και οι δύο ιστορικά συνδέονται με τις λειτουργίες της MuddyWater.

Οι ερευνητές απειλών έχουν εντοπίσει δείγματα κακόβουλου λογισμικού που φέρουν τις ακόλουθες υπογραφές που συνδέονται με το οικοσύστημα MuddyWater:

  • Trojan:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

    • Παρόλο που οι ίδιες οι Stagecomp και Darkcomp δεν εντοπίστηκαν στα παραβιασμένα δίκτυα που εξετάστηκαν σε αυτήν την έρευνα, η επαναχρησιμοποίηση του ίδιου ψηφιακού πιστοποιητικού υποδηλώνει έντονα τη συμμετοχή του ίδιου απειλητικού παράγοντα, ενισχύοντας την απόδοση στον Seedworm.

    Επέκταση των Ιρανικών Κυβερνοδυναμικών Δυνατοτήτων και των Τακτικών Κοινωνικής Μηχανικής

    Οι Ιρανοί φορείς κυβερνοαπειλής έχουν βελτιώσει σημαντικά τις επιχειρησιακές τους δυνατότητες τα τελευταία χρόνια. Η ανάπτυξη και τα εργαλεία κακόβουλου λογισμικού που χρησιμοποιούν έχουν γίνει πιο εξελιγμένα, επιτρέποντας την αόρατη διατήρηση και την πιο αποτελεσματική πλευρική κίνηση εντός των δικτύων των θυμάτων.

    Εξίσου αξιοσημείωτη είναι η επέκταση των στρατηγικών επίθεσης που επικεντρώνονται στον άνθρωπο. Οι Ιρανοί χειριστές έχουν επιδείξει ολοένα και πιο προηγμένες μεθόδους κοινωνικής μηχανικής, συμπεριλαμβανομένων ιδιαίτερα στοχευμένων καμπανιών spear-phishing και μακροπρόθεσμων επιχειρήσεων «honeytrap» που έχουν σχεδιαστεί για την οικοδόμηση εμπιστοσύνης με άτομα που τους ενδιαφέρουν. Αυτές οι τακτικές χρησιμοποιούνται συχνά για την απόκτηση πρόσβασης σε λογαριασμούς ή την εξαγωγή ευαίσθητων πληροφοριών.

    Επιτήρηση μέσω ευάλωτων καμερών

    Παράλληλες έρευνες αποκάλυψαν ότι άλλες ομάδες απειλών που συνδέονται με το Ιράν ερευνούν ενεργά συσκευές παρακολούθησης που είναι συνδεδεμένες στο διαδίκτυο. Ένας τέτοιος παράγοντας, ο Agrius, γνωστός και με τα ψευδώνυμα Agonizing Serpens, Marshtreader και Pink Sandstorm, έχει παρατηρηθεί να σαρώνει για ευάλωτες υποδομές παρακολούθησης βίντεο.

    Οι ερευνητές κατέγραψαν απόπειρες εκμετάλλευσης που στόχευαν κάμερες και συστήματα ενδοεπικοινωνίας βίντεο της Hikvision μέσω γνωστών τρωτών σημείων. Αυτές οι δραστηριότητες έχουν ενταθεί εν μέσω της συνεχιζόμενης σύγκρουσης στη Μέση Ανατολή, ιδίως στο Ισραήλ και σε πολλά κράτη του Κόλπου.

    Η εκστρατεία επικεντρώθηκε στην αξιοποίηση τρωτών σημείων που επηρεάζουν τον εξοπλισμό επιτήρησης από τις Dahua και Hikvision, όπως:

    • CVE-2017-7921
    • CVE-2023-6895
    • CVE-2021-36260
    • CVE-2025-34067
    • CVE-2021-33044

    Οι αναλυτές ασφαλείας πιστεύουν ότι τέτοιες παραβιάσεις ενδέχεται να υποστηρίζουν τη συλλογή στρατιωτικών πληροφοριών, συμπεριλαμβανομένης της επιχειρησιακής επιτήρησης και της αξιολόγησης ζημιών μάχης (BDA) που σχετίζονται με πυραυλικές επιχειρήσεις. Σε ορισμένες περιπτώσεις, ενδέχεται να συμβούν εισβολές σε κάμερες πριν από τις εκτοξεύσεις πυραύλων για να βοηθήσουν στη στόχευση ή την παρακολούθηση των αποτελεσμάτων.

    Κυβερνοδραστηριότητα ως Πρόδρομος των Κινητικών Λειτουργιών

    Η συντονισμένη στόχευση υποδομών επιτήρησης ευθυγραμμίζεται με μακροχρόνιες εκτιμήσεις ότι το ιρανικό κυβερνο-δόγμα ενσωματώνει την ψηφιακή αναγνώριση στον ευρύτερο στρατιωτικό σχεδιασμό. Οι παραβιασμένες κάμερες μπορούν να παρέχουν οπτική νοημοσύνη σε πραγματικό χρόνο και επίγνωση της κατάστασης.

    Κατά συνέπεια, η παρακολούθηση της δραστηριότητας σάρωσης και των προσπαθειών εκμετάλλευσης της υποδομής καμερών που συνδέονται με γνωστά ιρανικά κυβερνοπεριουσιακά στοιχεία μπορεί να χρησιμεύσει ως έγκαιρο προειδοποιητικό σήμα για πιθανές επακόλουθες κινητικές επιχειρήσεις.

    Αυξανόμενοι κίνδυνοι κυβερνοαντιποίνων

    Η κλιμακούμενη σύγκρουση στην οποία εμπλέκονται οι Ηνωμένες Πολιτείες, το Ισραήλ και το Ιράν έχει αυξήσει τον κίνδυνο κυβερνοαντιποίνων. Σε απάντηση στο αυξανόμενο τοπίο απειλών, το Καναδικό Κέντρο για την Κυβερνοασφάλεια (CCCS) εξέδωσε συμβουλευτική προειδοποίηση ότι το Ιράν είναι πιθανό να αξιοποιήσει τις κυβερνοδυναμικές του δυνατότητες εναντίον κρίσιμων υποδομών και να διεξάγει επιχειρήσεις επιρροής ή πληροφοριών για την προώθηση στρατηγικών συμφερόντων.

    Αυτές οι εξελίξεις υπογραμμίζουν τον αυξανόμενο ρόλο του κυβερνοχώρου ως παράλληλου πεδίου μάχης κατά τη διάρκεια γεωπολιτικών συγκρούσεων, όπου η κατασκοπεία, οι αναταραχές και η συλλογή πληροφοριών συνοδεύουν όλο και περισσότερο τις παραδοσιακές στρατιωτικές ενέργειες.

    Τάσεις

    Έγινε κοινοποίηση εγγράφου σε εσάς μέσω απάτης μέσω...

    Phishing, Ανεπιθύμητη αλληλογραφία
    Τα μη αναμενόμενα email που προτρέπουν σε άμεση δράση θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν κακόβουλα μηνύματα ως νόμιμες ειδοποιήσεις για να ξεγελάσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Η επαγρύπνηση κατά την αναθεώρηση email, ειδικά εκείνων που ζητούν διαπιστευτήρια σύνδεσης, είναι απαραίτητη για την αποτροπή...

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    21,830
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...