Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Zadné dvierka Dindoor

Zadné dvierka Dindoor

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:

Výskum v oblasti spravodajských informácií o hrozbách odhalil dôkazy o kybernetickej operácii spojenej s iránskym štátom, ktorá sa úspešne začlenila do sietí niekoľkých organizácií v Severnej Amerike. Medzi postihnuté subjekty patria banky, letiská, neziskové organizácie a izraelská pobočka softvérovej spoločnosti slúžiacej obrannému a leteckému sektoru.

Kampaň bola pripísaná skupine MuddyWater, známej aj ako Seedworm, ktorá je spojená s iránskym ministerstvom spravodajských služieb a bezpečnosti (MOIS). Vyšetrovatelia odhadujú, že operácia sa začala začiatkom februára 2026. Aktivita siete spojená s kampaňou sa objavila krátko po vojenských úderoch Spojených štátov a Izraela proti Iránu, čo naznačuje potenciálny geopolitický spúšťač kybernetickej aktivity.

Zdá sa, že osobitná pozornosť sa venovala izraelskej divízii cieľového poskytovateľa softvéru. Spoločnosť dodáva riešenia pre viacero odvetví vrátane obrany a leteckého priemyslu, čo z nej robí strategicky cenný cieľ pre zhromažďovanie spravodajských informácií a potenciálne narušenie.

Dindoor: Novo identifikovaný backdoor využívajúci Deno

Bezpečnostní analytici skúmajúci prieniky identifikovali nasadenie predtým nezdokumentovaného zadného vrátka s názvom Dindoor. Malvér používa ako súčasť svojho prostredia na vykonávanie behové prostredie JavaScriptu Deno, čo je relatívne nezvyčajná technika, ktorá môže pomôcť malvéru vyhnúť sa detekcii v tradičných systémoch monitorovania bezpečnosti.

Útoky, do ktorých bol zapojený dodávateľ softvéru, americká banková inštitúcia a kanadská nezisková organizácia, zrejme slúžili ako vstupné body pre inštaláciu týchto zadných vrátok.

Boli tiež identifikované dôkazy o pokuse o únik údajov. Vyšetrovatelia pozorovali použitie nástroja Rclone na prenos informácií z prostredia napadnutej softvérovej spoločnosti do cloudového úložiska hostovaného na platforme Wasabi. V čase analýzy nebolo jasné, či bol pokus o únik údajov nakoniec úspešný.

Fakeset Backdoor sa objavuje v ďalších napadnutých sieťach

V sieťach amerického letiska a ďalšej neziskovej organizácie bola zistená samostatná súčasť malvéru známa ako Fakeset, napísaná v jazyku Python. Táto zadná vrátka bola získaná z infraštruktúry spojenej so spoločnosťou Backblaze, poskytovateľom cloudového úložiska a zálohovania so sídlom v USA.

Škodlivý dátový súbor bol digitálne podpísaný pomocou certifikátu, ktorý bol predtým spojený s dvoma ďalšími rodinami malvéru, Stagecomp a Darkcomp, ktoré boli historicky spojené s operáciami MuddyWater.

Výskumníci hrozieb identifikovali vzorky malvéru s nasledujúcimi podpismi viazanými na ekosystém MuddyWater:

  • Trójsky kôň:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Hoci samotné Stagecomp a Darkcomp neboli objavené v napadnutých sieťach skúmaných v rámci tohto vyšetrovania, opätovné použitie toho istého digitálneho certifikátu silne naznačuje zapojenie toho istého aktéra hrozby, čo potvrdzuje pripísanie hrozbe Seedworm.

Rozširovanie iránskych kybernetických kapacít a taktík sociálneho inžinierstva

Iránski aktéri kybernetických hrozieb v posledných rokoch výrazne zlepšili svoje operačné schopnosti. Ich vývoj a nástroje na vývoj malvéru sa stali sofistikovanejšími, čo umožňuje nenápadnejšie fungovanie a efektívnejší laterálny pohyb v rámci sietí obetí.

Rovnako pozoruhodné je rozšírenie ich stratégií útokov zameraných na ľudí. Iránski operátori predviedli čoraz pokročilejšie metódy sociálneho inžinierstva vrátane vysoko cielených phishingových kampaní a dlhodobých operácií typu „pasca na med“, ktorých cieľom je vybudovať dôveru s jednotlivcami, o ktoré sa zaujímajú. Tieto taktiky sa často používajú na získanie prístupu k účtu alebo na získanie citlivých informácií.

Dohľad prostredníctvom zraniteľných kamier

Súbežné vyšetrovania odhalili, že ďalšie s Iránom prepojené skupiny hrozebných skupín aktívne skúmajú zariadenia na sledovanie pripojené k internetu. Jeden z takýchto aktérov, Agrius, známy aj pod prezývkami Agonizing Serpens, Marshtreader a Pink Sandstorm, bol pozorovaný pri skenovaní zraniteľnej infraštruktúry video monitorovania.

Výskumníci zdokumentovali pokusy o zneužitie zamerané na kamery a systémy videointerkomov Hikvision prostredníctvom známych zraniteľností. Tieto aktivity sa zintenzívnili uprostred prebiehajúceho konfliktu na Blízkom východe, najmä v Izraeli a niekoľkých štátoch Perzského zálivu.

Kampaň sa zamerala na zneužívanie zraniteľností ovplyvňujúcich monitorovacie zariadenia od spoločností Dahua a Hikvision, vrátane:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Bezpečnostní analytici sa domnievajú, že takéto kompromitácie môžu podporiť zhromažďovanie vojenských spravodajských informácií vrátane operačného dohľadu a hodnotenia bojových škôd (BDA) súvisiacich s raketovými operáciami. V niektorých prípadoch môže k narušeniu kamier dôjsť pred odpálením rakiet, aby sa pomohlo s cielením alebo monitorovaním výsledkov.

Kybernetická aktivita ako predchodca kinetických operácií

Koordinované zacielenie na infraštruktúru sledovania je v súlade s dlhodobými hodnoteniami, že iránska kybernetická doktrína integruje digitálny prieskum do širšieho vojenského plánovania. Kompromitované kamery môžu poskytovať vizuálnu inteligenciu a situačné povedomie v reálnom čase.

Monitorovanie skenovacej aktivity a pokusov o zneužitie infraštruktúry kamier prepojenej so známymi iránskymi kybernetickými aktívami môže preto slúžiť ako včasný varovný signál pre potenciálne následné kinetické operácie.

Rastúce riziká kybernetických odvetných opatrení

Eskalácia konfliktu medzi Spojenými štátmi, Izraelom a Iránom zvýšila riziko kybernetických odvetných opatrení. V reakcii na rastúcu hrozbu vydalo Kanadské centrum pre kybernetickú bezpečnosť (CCCS) varovanie, že Irán pravdepodobne využije svoje kybernetické schopnosti proti kritickej infraštruktúre a bude vykonávať vplyvové alebo informačné operácie na presadzovanie strategických záujmov.

Tento vývoj zdôrazňuje rastúcu úlohu kyberpriestoru ako paralelného bojiska počas geopolitických konfliktov, kde špionáž, narúšanie a zhromažďovanie spravodajských informácií čoraz viac sprevádzajú tradičné vojenské akcie.

Trendy

Dokument bol s vami zdieľaný v rámci podvodu s...

Phishing, Spam
Neočakávané e-maily, ktoré naliehajú na okamžitú akciu, by sa mali vždy brať opatrne. Kyberzločinci často maskujú škodlivé správy ako legitímne oznámenia, aby oklamali príjemcov a prinútili ich prezradiť citlivé informácie. Ostražitá kontrola e-mailov, najmä tých, ktoré vyžadujú prihlasovacie údaje, je nevyhnutná na zabránenie napadnutiu účtu a finančným škodám. Dôležité je, že e-maily s názvom...

Najviac videné

Načítava...