Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Ușă din spate Dindoor

Ușă din spate Dindoor

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:

Cercetările privind amenințările au descoperit dovezi ale unei operațiuni cibernetice aliniate cu statul iranian, care s-a integrat cu succes în rețelele mai multor organizații din America de Nord. Printre entitățile afectate se numără bănci, aeroporturi, organizații non-profit și filiala israeliană a unei companii de software care deservește sectoarele de apărare și aerospațial.

Campania a fost atribuită grupării MuddyWater, cunoscută și sub numele de Seedworm, un grup de amenințări asociat cu Ministerul Informațiilor și Securității (MOIS) din Iran. Anchetatorii evaluează că operațiunea a început la începutul lunii februarie 2026. Activitatea în rețea legată de campanie a ieșit la suprafață la scurt timp după atacurile militare efectuate de Statele Unite și Israel împotriva Iranului, sugerând un potențial declanșator geopolitic în spatele activității cibernetice.

Se pare că o atenție deosebită a fost îndreptată către divizia israeliană a furnizorului de software vizat. Compania furnizează soluții către multiple industrii, inclusiv apărare și aerospațială, ceea ce o face o țintă strategic valoroasă pentru colectarea de informații și potențiale perturbări.

Dindoor: O ușă ascunsă recent identificată care valorifică Deno

Analiștii de securitate care au examinat intruziunile au identificat implementarea unui backdoor nedocumentat anterior, numit Dindoor. Malware-ul folosește runtime-ul JavaScript Deno ca parte a mediului său de execuție, o tehnică relativ neobișnuită ce ar putea ajuta malware-ul să evite detectarea în sistemele tradiționale de monitorizare a securității.

Atacurile care au implicat furnizorul de software, o instituție bancară din SUA și o organizație non-profit canadiană par să fi servit drept puncte de intrare pentru instalarea acestei porți secrete.

De asemenea, au fost identificate dovezi ale unei tentative de exfiltrare a datelor. Anchetatorii au observat utilizarea utilitarului Rclone pentru a transfera informații din mediul companiei de software compromis către un bucket de stocare în cloud găzduit pe Wasabi. La momentul analizei, nu era clar dacă tentativa de exfiltrare a datelor a avut succes în cele din urmă.

Backdoor-ul fals apare în alte rețele compromise

O componentă malware separată, cunoscută sub numele de Fakeset, scrisă în Python, a fost detectată în rețelele unui aeroport din SUA și ale unei alte organizații non-profit. Această intrare ascunsă a fost recuperată din infrastructura asociată cu Backblaze, un furnizor de stocare în cloud și backup cu sediul în SUA.

Sarcina utilă malițioasă a fost semnată digital folosind un certificat care a fost anterior asociat cu alte două familii de programe malware, Stagecomp și Darkcomp, ambele asociate istoric cu operațiunile MuddyWater.

Cercetătorii în domeniul amenințărilor au identificat mostre de malware care poartă următoarele semnături legate de ecosistemul MuddyWater:

  • Trojan:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Deși Stagecomp și Darkcomp în sine nu au fost descoperite în rețelele compromise examinate în cadrul acestei investigații, reutilizarea aceluiași certificat digital sugerează cu tărie implicarea aceluiași actor amenințător, întărind atribuirea către Seedworm.

Extinderea capacităților cibernetice iraniene și a tacticilor de inginerie socială

Actorii iranieni care atacă cibernetic și-au îmbunătățit semnificativ capacitățile operaționale în ultimii ani. Dezvoltarea și instrumentele lor de malware au devenit mai sofisticate, permițând o persistență mai discretă și o mișcare laterală mai eficientă în interiorul rețelelor victimelor.

La fel de notabilă este extinderea strategiilor lor de atac axate pe oameni. Operatorii iranieni au demonstrat metode de inginerie socială din ce în ce mai avansate, inclusiv campanii de spear-phishing extrem de bine direcționate și operațiuni „honeytrap” pe termen lung, concepute pentru a construi încrederea persoanelor de interes. Aceste tactici sunt frecvent folosite pentru a obține acces la conturi sau pentru a extrage informații sensibile.

Supraveghere prin camere vulnerabile

Investigațiile paralele au dezvăluit că alte grupuri de amenințări legate de Iran investighează activ dispozitivele de supraveghere conectate la internet. Un astfel de actor, Agrius, cunoscut și sub pseudonimele Agonizing Serpens, Marshtreader și Pink Sandstorm, a fost observat scanând infrastructura de supraveghere video vulnerabilă.

Cercetătorii au documentat tentative de exploatare care au vizat camerele Hikvision și sistemele de interfonie video prin intermediul vulnerabilităților cunoscute. Aceste activități s-au intensificat în contextul conflictului în curs din Orientul Mijlociu, în special în Israel și în mai multe state din Golf.

Campania s-a concentrat pe exploatarea vulnerabilităților care afectează echipamentele de supraveghere de la Dahua și Hikvision, inclusiv:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Analiștii în domeniul securității consideră că astfel de compromisuri pot sprijini colectarea de informații militare, inclusiv supravegherea operațională și evaluarea pagubelor provocate de luptă (BDA) legate de operațiunile cu rachete. În unele cazuri, intruziunile camerelor pot avea loc înainte de lansarea rachetelor pentru a ajuta la țintirea sau monitorizarea rezultatelor.

Activitatea cibernetică ca precursor al operațiunilor cinetice

Vizarea coordonată a infrastructurii de supraveghere se aliniază cu evaluările de lungă durată conform cărora doctrina cibernetică iraniană integrează recunoașterea digitală în planificarea militară mai amplă. Camerele compromise pot oferi informații vizuale în timp real și conștientizare situațională.

Prin urmare, monitorizarea activității de scanare și a tentativelor de exploatare a infrastructurii camerelor conectate la active cibernetice iraniene cunoscute poate servi drept semnal de avertizare timpurie pentru potențiale operațiuni cinetice ulterioare.

Riscuri crescânde de represalii cibernetice

Escaladarea conflictului dintre Statele Unite, Israel și Iran a sporit riscul de represalii cibernetice. Ca răspuns la peisajul tot mai mare al amenințărilor, Centrul Canadian pentru Securitate Cibernetică (CCCS) a emis un avertisment consultativ că Iranul este probabil să își utilizeze capacitățile cibernetice împotriva infrastructurii critice și să desfășoare operațiuni de influență sau informare pentru a promova interese strategice.

Aceste evoluții evidențiază rolul tot mai mare al spațiului cibernetic ca un câmp de luptă paralel în timpul conflictelor geopolitice, unde spionajul, perturbările și culegerea de informații însoțesc din ce în ce mai mult acțiunile militare tradiționale.

Trending

Documentul a fost partajat cu dvs. printr-o...

phishing, Spam
E-mailurile neașteptate care îndeamnă la acțiuni imediate trebuie tratate întotdeauna cu prudență. Infractorii cibernetici deghizează frecvent mesajele rău intenționate în notificări legitime pentru a păcăli destinatarii să dezvăluie informații sensibile. Vigilența la revizuirea e-mailurilor, în special a celor care solicită acreditări de conectare, este esențială pentru a preveni compromiterea...

Cele mai văzute

Se încarcă...