Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Dindoor hátsó ajtó

Dindoor hátsó ajtó

Mezo -ra Malware, Advanced Persistent Threat (APT), Hátsó ajtók-ben
Fordítás ide:

A fenyegetésekkel kapcsolatos hírszerzési kutatások bizonyítékokat tártak fel egy iráni állam által támogatott kiberműveletre, amely sikeresen beágyazódott számos észak-amerikai szervezet hálózatába. Az érintett szervezetek között bankok, repülőterek, nonprofit szervezetek, valamint egy védelmi és repülőgépipari szektort kiszolgáló szoftvercég izraeli fióktelepe is szerepel.

A kampányt a MuddyWaternek, más néven Seedwormnek tulajdonítják, amely az iráni hírszerzési és biztonsági minisztériummal (MOIS) kapcsolatban álló fenyegetéscsoport. A nyomozók becslése szerint a művelet 2026 február elején kezdődött. A kampánnyal kapcsolatos hálózati tevékenység röviddel az Egyesült Államok és Izrael által Irán ellen végrehajtott katonai csapások után került napvilágra, ami a kibertevékenység mögött álló lehetséges geopolitikai kiváltó okot sugallja.

Úgy tűnik, különös figyelmet fordítottak a célpontként szereplő szoftverszállító izraeli részlegére. A vállalat számos iparágnak szállít megoldásokat, beleértve a védelmi és repülőgépipari ipart, így stratégiailag értékes célponttá válik a hírszerzés és a potenciális zavarok szempontjából.

Dindoor: Egy újonnan azonosított, hátsó ajtót kihasználó Deno

A behatolásokat vizsgáló biztonsági elemzők egy korábban nem dokumentált, Dindoor nevű hátsó ajtó telepítését azonosították. A rosszindulatú program a Deno JavaScript futtatókörnyezetet használja végrehajtási környezetének részeként, ami egy viszonylag ritka technika, és segíthet a rosszindulatú programnak elkerülni az észlelést a hagyományos biztonsági megfigyelő rendszerekben.

Úgy tűnik, hogy a szoftvergyártót, egy amerikai bankintézetet és egy kanadai nonprofit szervezetet érintő támadások szolgáltak belépési pontként a hátsó ajtó telepítéséhez.

Adatlopási kísérletre utaló bizonyítékokat is találtak. A nyomozók megfigyelték, hogy az Rclone segédprogram használatával információkat vittek át a feltört szoftvercég környezetéből a Wasabi felhőalapú tárhelyére. Az elemzés időpontjában továbbra sem volt világos, hogy az adatlopási kísérlet végül sikeres volt-e.

Fakeset hátsó ajtó jelent meg további feltört hálózatokban

Egy különálló, Fakeset néven ismert, Pythonban írt kártevőkomponenst észleltek egy amerikai repülőtér és egy másik nonprofit szervezet hálózatában. Ezt a hátsó ajtót a Backblaze, egy amerikai székhelyű felhőalapú tárhely- és biztonsági mentési szolgáltató infrastruktúrájából szerezték be.

A rosszindulatú adatot digitálisan írták alá egy olyan tanúsítvánnyal, amelyet korábban két másik kártevőcsaládhoz, a Stagecomphoz és a Darkcomphoz kötöttek, amelyek mindkettő történelmileg a MuddyWater műveleteihez kapcsolódik.

A fenyegetéskutatók a következő, a MuddyWater ökoszisztémához kapcsolódó aláírásokat tartalmazó kártevőmintákat azonosították:

  • Trójai:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Bár a Stagecomp és a Darkcomp nem került elő a vizsgálat során vizsgált feltört hálózatokon, ugyanazon digitális tanúsítvány újrafelhasználása erősen arra utal, hogy ugyanaz a fenyegető szereplő volt érintett, ami megerősíti a Seedwormnak tulajdonítható hibát.

Irán kiberképességeinek bővítése és a társadalmi manipuláció taktikái

Az iráni kiberfenyegetésekért felelős szereplők az elmúlt években jelentősen javították működési képességeiket. Kártevőik fejlesztése és eszközeik kifinomultabbá váltak, lehetővé téve a nagyobb lopakodást és a hatékonyabb oldalirányú mozgást az áldozatok hálózatain belül.

Ugyanilyen figyelemre méltó az emberközpontú támadási stratégiáik bővülése. Az iráni operátorok egyre fejlettebb társadalmi manipulációs módszereket mutattak be, beleértve a célzott adathalász kampányokat és a hosszú távú „mézes csapdába ejt” műveleteket, amelyek célja a bizalom kiépítése az érdeklődő egyénekkel. Ezeket a taktikákat gyakran használják fiókhozzáférések megszerzésére vagy érzékeny információk kinyerésére.

Megfigyelés sebezhető kamerákkal

Párhuzamos vizsgálatok kimutatták, hogy más, Iránhoz köthető fenyegető csoportok is aktívan vizsgálják az internetre csatlakoztatott megfigyelőeszközöket. Az egyik ilyen szereplő, az Agrius, más néven Agonizing Serpens, Marshtreader és Pink Sandstorm, sebezhető videomegfigyelő infrastruktúra után kutatva figyelte meg a helyzetet.

A kutatók dokumentálták a Hikvision kamerákat és video-interkom rendszereket célzó, ismert sebezhetőségeken keresztüli kihasználási kísérleteket. Ezek a tevékenységek felerősödtek a folyamatban lévő közel-keleti konfliktus közepette, különösen Izraelben és számos Perzsa-öböl menti államban.

A kampány a Dahua és a Hikvision megfigyelőberendezéseit érintő sebezhetőségek kihasználására összpontosított, beleértve:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Biztonsági elemzők úgy vélik, hogy az ilyen kompromittálások elősegíthetik a katonai hírszerzést, beleértve a rakétaműveletekkel kapcsolatos operatív megfigyelést és a harci károk felmérését (BDA). Bizonyos esetekben kamerás behatolások történhetnek a rakétaindítások előtt, hogy segítsék a célzást vagy az eredmények nyomon követését.

A kibertevékenység mint a kinetikus műveletek előfutára

A megfigyelő infrastruktúra összehangolt célba vétele összhangban van azokkal a régóta fennálló értékelésekkel, amelyek szerint az iráni kiberdoktrína integrálja a digitális felderítést a tágabb katonai tervezésbe. A feltört kamerák valós idejű vizuális intelligenciát és helyzetfelismerést biztosíthatnak.

Következésképpen az ismert iráni kibereszközökhöz kapcsolódó kamerainfrastruktúra elleni szkennelési tevékenység és a támadási kísérletek megfigyelése korai figyelmeztető jelként szolgálhat a lehetséges további kinetikus műveletekre.

Növekvő kibermegtorlási kockázatok

Az Egyesült Államok, Izrael és Irán közötti eszkalálódó konfliktus fokozta a kibertámadások kockázatát. A növekvő fenyegetettségre válaszul a Kanadai Kiberbiztonsági Központ (CCCS) tanácsadó figyelmeztetést adott ki, miszerint Irán valószínűleg kiberképességeit a kritikus infrastruktúra ellen fogja felhasználni, és befolyásolási vagy információs műveleteket fog végrehajtani stratégiai érdekei előmozdítása érdekében.

Ezek a fejlemények rávilágítanak a kibertér növekvő szerepére, mint párhuzamos csatatérre a geopolitikai konfliktusok során, ahol a kémkedés, a zavarás és a hírszerzés egyre inkább kíséri a hagyományos katonai akciókat.

Felkapott

Dokumentumot megosztottak Önnel egy SharePoint...

Adathalászat, Spam
A váratlan, azonnali cselekvésre felszólító e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran álcázzák a rosszindulatú üzeneteket legitim értesítésekként, hogy rávegyék a címzetteket, hogy bizalmas információkat fedjenek fel. Az éberség az e-mailek, különösen a bejelentkezési adatokat kérő e-mailek áttekintésekor elengedhetetlen a fiókfeltörés és a pénzügyi károk megelőzése...

Legnézettebb

Betöltés...