Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Dindoor Backdoor

Dindoor Backdoor

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Przetłumacz na:

Badania wywiadowcze dotyczące zagrożeń ujawniły dowody na cyberoperację powiązaną z państwem irańskim, która skutecznie wdarła się do sieci kilku organizacji w Ameryce Północnej. Wśród zaatakowanych podmiotów znalazły się banki, lotniska, organizacje non-profit oraz izraelski oddział firmy programistycznej obsługującej sektor obronny i lotniczy.

Kampanię przypisuje się grupie MuddyWater, znanej również jako Seedworm, grupie zagrożeń powiązanej z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Śledczy szacują, że operacja rozpoczęła się na początku lutego 2026 roku. Aktywność sieciowa związana z tą kampanią pojawiła się wkrótce po atakach militarnych przeprowadzonych przez Stany Zjednoczone i Izrael na Iran, co sugeruje potencjalny geopolityczny czynnik wyzwalający cyberaktywność.

Szczególną uwagę zwrócono na izraelski oddział dostawcy oprogramowania, który został zaatakowany. Firma dostarcza rozwiązania dla wielu branż, w tym obronnej i lotniczej, co czyni ją strategicznie cennym celem w kontekście gromadzenia informacji wywiadowczych i potencjalnego zakłócania działań.

Dindoor: Nowo zidentyfikowany backdoor wykorzystujący Deno

Analitycy bezpieczeństwa badający włamania zidentyfikowali wdrożenie nieudokumentowanego wcześniej backdoora o nazwie Dindoor. Szkodliwe oprogramowanie wykorzystuje środowisko uruchomieniowe Deno JavaScript jako część swojego środowiska wykonawczego, co jest stosunkowo rzadką techniką, która może pomóc złośliwemu oprogramowaniu uniknąć wykrycia w tradycyjnych systemach monitorowania bezpieczeństwa.

Ataki z udziałem dostawcy oprogramowania, amerykańskiej instytucji bankowej i kanadyjskiej organizacji non-profit najprawdopodobniej posłużyły jako punkty wejścia do zainstalowania tego tylnego wejścia.

Zidentyfikowano również dowody próby eksfiltracji danych. Śledczy zaobserwowali użycie narzędzia Rclone do przesłania informacji ze środowiska zainfekowanej firmy produkującej oprogramowanie do kontenera pamięci masowej w chmurze hostowanego na platformie Wasabi. W momencie analizy nie było jasne, czy próba eksfiltracji danych ostatecznie zakończyła się sukcesem.

Fakeset Backdoor pojawia się w kolejnych zainfekowanych sieciach

Odrębny komponent złośliwego oprogramowania znany jako Fakeset, napisany w Pythonie, został wykryty w sieciach amerykańskiego lotniska i innej organizacji non-profit. Ten backdoor został pobrany z infrastruktury powiązanej z Backblaze, amerykańskim dostawcą pamięci masowej w chmurze i kopii zapasowych.

Szkodliwy ładunek został podpisany cyfrowo przy użyciu certyfikatu, który wcześniej powiązano z dwiema innymi rodzinami złośliwego oprogramowania, Stagecomp i Darkcomp, obie historycznie kojarzone z operacjami MuddyWater.

Badacze zagrożeń zidentyfikowali próbki złośliwego oprogramowania posiadające następujące sygnatury powiązane z ekosystemem MuddyWater:

  • Trojan:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

    • Chociaż Stagecomp i Darkcomp nie zostały wykryte w zainfekowanych sieciach badanych w ramach tego dochodzenia, ponowne wykorzystanie tego samego certyfikatu cyfrowego silnie wskazuje na udział tego samego sprawcy zagrożenia, co wzmacnia przypisanie ich do Seedworm.

    Rozszerzanie irańskich możliwości cybernetycznych i taktyki inżynierii społecznej

    Irańscy cyberprzestępcy znacząco poprawili swoje możliwości operacyjne w ostatnich latach. Ich oprogramowanie złośliwe i narzędzia stały się bardziej zaawansowane, umożliwiając bardziej dyskretną trwałość i skuteczniejsze przemieszczanie się w sieciach ofiar.

    Równie godny uwagi jest rozwój strategii ataków skoncentrowanych na człowieku. Irańscy operatorzy demonstrują coraz bardziej zaawansowane metody socjotechniczne, w tym wysoce ukierunkowane kampanie spear phishingu i długoterminowe operacje typu „honeytrap”, mające na celu budowanie zaufania u osób zainteresowanych. Taktyki te są często wykorzystywane do uzyskania dostępu do konta lub wydobycia poufnych informacji.

    Nadzór za pomocą podatnych na ataki kamer

    Równoległe śledztwa ujawniły, że inne powiązane z Iranem grupy przestępcze aktywnie badają urządzenia podsłuchowe podłączone do internetu. Jeden z takich aktorów, Agrius, znany również pod pseudonimami Agonizing Serpens, Marshtreader i Pink Sandstorm, został zaobserwowany podczas skanowania w poszukiwaniu podatnej na ataki infrastruktury monitoringu wideo.

    Badacze udokumentowali próby wykorzystania znanych luk w zabezpieczeniach kamer i systemów wideodomofonowych Hikvision. Działania te nasiliły się w trakcie trwającego konfliktu na Bliskim Wschodzie, szczególnie w Izraelu i kilku państwach Zatoki Perskiej.

    Kampania skupiała się na wykorzystaniu luk w zabezpieczeniach sprzętu monitorującego firm Dahua i Hikvision, w tym:

    • CVE-2017-7921
    • CVE-2023-6895
    • CVE-2021-36260
    • CVE-2025-34067
    • CVE-2021-33044

    Analitycy bezpieczeństwa uważają, że takie naruszenia bezpieczeństwa mogą wspierać gromadzenie danych wywiadowczych, w tym nadzór operacyjny i ocenę uszkodzeń bojowych (BDA) w kontekście operacji rakietowych. W niektórych przypadkach, przed wystrzeleniem rakiet, może dojść do ingerencji kamer w celu ułatwienia namierzania lub monitorowania rezultatów.

    Aktywność cybernetyczna jako prekursor operacji kinetycznych

    Skoordynowane ataki na infrastrukturę nadzoru są zgodne z długoletnimi ocenami, że irańska doktryna cybernetyczna integruje rozpoznanie cyfrowe z szerszym planowaniem wojskowym. Zainfekowane kamery mogą dostarczać informacji wywiadowczych w czasie rzeczywistym i zapewniać świadomość sytuacyjną.

    W związku z tym monitorowanie aktywności skanowania i prób wykorzystania infrastruktury kamer powiązanej ze znanymi irańskimi zasobami cybernetycznymi może służyć jako wczesny sygnał ostrzegawczy przed potencjalnymi dalszymi operacjami kinetycznymi.

    Rosnące ryzyko odwetu cybernetycznego

    Narastający konflikt między Stanami Zjednoczonymi, Izraelem i Iranem zwiększył ryzyko cyberodwetu. W odpowiedzi na rosnące zagrożenie, Kanadyjskie Centrum Cyberbezpieczeństwa (CCCS) wydało ostrzeżenie, że Iran prawdopodobnie wykorzysta swoje cybernetyczne możliwości przeciwko infrastrukturze krytycznej i przeprowadzi operacje mające na celu wywieranie wpływu lub pozyskiwanie informacji w celu realizacji strategicznych interesów.

    Wydarzenia te podkreślają rosnącą rolę cyberprzestrzeni jako równoległego pola bitwy podczas konfliktów geopolitycznych, gdzie szpiegostwo, zakłócanie porządku i gromadzenie informacji wywiadowczych coraz częściej towarzyszą tradycyjnym działaniom militarnym.

    Popularne

    Dokument został Ci udostępniony w oszustwie...

    Phishing, Spam
    Nieoczekiwane wiadomości e-mail wzywające do natychmiastowego działania należy zawsze traktować z ostrożnością. Cyberprzestępcy często maskują złośliwe wiadomości pod legalnymi powiadomieniami, aby nakłonić odbiorców do ujawnienia poufnych informacji. Zachowanie czujności podczas przeglądania wiadomości e-mail, zwłaszcza tych z prośbą o dane logowania, jest kluczowe dla zapobiegania włamaniom...

    Najczęściej oglądane

    Ładowanie...