Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zadnja vrata Dindoor

Zadnja vrata Dindoor

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Zadnja vrata
Prevedi v:

Raziskave o grožnjah so odkrile dokaze o iranski kibernetski operaciji, povezani z državo, ki se je uspešno vgradila v omrežja več organizacij po vsej Severni Ameriki. Med prizadetimi subjekti so banke, letališča, neprofitne organizacije in izraelska podružnica podjetja za programsko opremo, ki deluje v obrambnem in vesoljskem sektorju.

Kampanja je bila pripisana skupini MuddyWater, znani tudi kot Seedworm, ki je povezana z iranskim ministrstvom za obveščevalne dejavnosti in varnost (MOIS). Preiskovalci ocenjujejo, da se je operacija začela v začetku februarja 2026. Omrežna aktivnost, povezana s kampanjo, se je pojavila kmalu po vojaških napadih Združenih držav in Izraela na Iran, kar kaže na morebiten geopolitični sprožilec kibernetske aktivnosti.

Zdi se, da je bila posebna pozornost usmerjena na izraelsko podružnico ciljnega ponudnika programske opreme. Podjetje dobavlja rešitve za več panog, vključno z obrambo in vesoljsko industrijo, zaradi česar je strateško dragocena tarča za zbiranje obveščevalnih podatkov in morebitne motnje.

Dindoor: Novo odkrita zadnja vrata, ki izkoriščajo Deno

Varnostni analitiki, ki so preučevali vdore, so odkrili namestitev prej nedokumentiranih zadnjih vrat, imenovanih Dindoor. Zlonamerna programska oprema kot del svojega izvajalnega okolja uporablja izvajalno okolje Deno JavaScript, kar je relativno redka tehnika, ki lahko pomaga zlonamerni programski opremi, da se izogne odkrivanju v tradicionalnih sistemih za varnostni nadzor.

Zdi se, da so napadi, v katere so bili vpleteni prodajalec programske opreme, ameriška bančna institucija in kanadska neprofitna organizacija, služili kot vstopne točke za namestitev teh zadnjih vrat.

Ugotovljeni so bili tudi dokazi o poskusu kraje podatkov. Preiskovalci so opazili uporabo orodja Rclone za prenos informacij iz okolja ogroženega podjetja za programsko opremo v vedro za shranjevanje v oblaku, ki gostuje na platformi Wasabi. V času analize ni bilo jasno, ali je bil poskus kraje podatkov na koncu uspešen.

Fakeset Backdoor se pojavlja v dodatnih ogroženih omrežjih

V omrežjih ameriškega letališča in druge neprofitne organizacije je bila zaznana ločena komponenta zlonamerne programske opreme, znana kot Fakeset, napisana v Pythonu. Ta zadnja vrata so bila pridobljena iz infrastrukture, povezane z Backblazeom, ameriškim ponudnikom shranjevanja in varnostnega kopiranja v oblaku.

Zlonamerni koristni tovor je bil digitalno podpisan s potrdilom, ki je bilo prej povezano z dvema drugima družinama zlonamerne programske opreme, Stagecomp in Darkcomp, ki sta bili zgodovinsko povezani z operacijami MuddyWater.

Raziskovalci groženj so odkrili vzorce zlonamerne programske opreme z naslednjimi podpisi, povezanimi z ekosistemom MuddyWater:

  • Trojanec:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Čeprav Stagecomp in Darkcomp sama nista bila odkrita v ogroženih omrežjih, preučenih v tej preiskavi, ponovna uporaba istega digitalnega potrdila močno nakazuje na vpletenost istega akterja grožnje, kar krepi pripisovanje Seedworm.

Širjenje iranskih kibernetskih zmogljivosti in taktik socialnega inženiringa

Iranski akterji kibernetskih groženj so v zadnjih letih znatno izboljšali svoje operativne zmogljivosti. Njihov razvoj in orodja za zlonamerno programsko opremo so postala bolj dovršena, kar omogoča prikritejšo vztrajnost in učinkovitejše lateralno gibanje znotraj omrežij žrtev.

Prav tako je opazna širitev njihovih strategij napadov, osredotočenih na ljudi. Iranski operaterji so pokazali vse bolj napredne metode socialnega inženiringa, vključno z visoko ciljno usmerjenimi kampanjami lažnega predstavljanja in dolgoročnimi operacijami »medene pasti«, namenjenimi vzpostavljanju zaupanja z zanimivimi posamezniki. Te taktike se pogosto uporabljajo za pridobitev dostopa do računov ali pridobivanje občutljivih podatkov.

Nadzor z ranljivimi kamerami

Vzporedne preiskave so razkrile, da druge z Iranom povezane skupine groženj aktivno preiskujejo nadzorne naprave, povezane z internetom. Eden takšnih akterjev, Agrius, znan tudi pod psevdonimi Agonizing Serpens, Marshtreader in Pink Sandstorm, je bil opažen pri iskanju ranljive infrastrukture za video nadzor.

Raziskovalci so dokumentirali poskuse zlorab, usmerjenih proti kameram Hikvision in video domofonskim sistemom prek znanih ranljivosti. Te dejavnosti so se okrepile sredi nenehnega konflikta na Bližnjem vzhodu, zlasti v Izraelu in več zalivskih državah.

Kampanja se je osredotočila na izkoriščanje ranljivosti, ki vplivajo na nadzorno opremo Dahua in Hikvision, vključno z:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Varnostni analitiki menijo, da lahko takšne vdorne informacije podpirajo zbiranje vojaških obveščevalnih podatkov, vključno z operativnim nadzorom in oceno bojne škode (BDA), povezane z raketnimi operacijami. V nekaterih primerih lahko do vdorov kamer pride pred izstrelitvami raket, da se pomaga pri ciljanju ali spremljanju rezultatov.

Kibernetska aktivnost kot predhodnik kinetičnih operacij

Usklajeno ciljanje nadzorne infrastrukture je v skladu z dolgoletnimi ocenami, da iranska kibernetska doktrina vključuje digitalno izvidovanje v širše vojaško načrtovanje. Kompromitirane kamere lahko zagotavljajo vizualno inteligenco v realnem času in zavedanje o situaciji.

Posledično lahko spremljanje aktivnosti skeniranja in poskusov izkoriščanja infrastrukture kamer, povezane z znanimi iranskimi kibernetskimi sredstvi, služi kot zgodnji opozorilni signal za morebitne nadaljnje kinetične operacije.

Naraščajoča tveganja kibernetskih povračilnih ukrepov

Stopnjevanje konflikta med Združenimi državami Amerike, Izraelom in Iranom je povečalo tveganje za kibernetske povračilne ukrepe. Kanadski center za kibernetsko varnost (CCCS) je v odgovor na naraščajoče grožnje izdal opozorilo, da bo Iran verjetno izkoristil svoje kibernetske zmogljivosti proti kritični infrastrukturi in izvajal vplivne ali informacijske operacije za uveljavljanje strateških interesov.

Ta dogajanja poudarjajo vse večjo vlogo kibernetskega prostora kot vzporednega bojišča med geopolitičnimi konflikti, kjer vohunjenje, motnje in zbiranje obveščevalnih podatkov vse bolj spremljajo tradicionalne vojaške akcije.

V trendu

Dokument je bil z vami deljen prek e-poštne prevare...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki pozivajo k takojšnjemu ukrepanju, je treba vedno obravnavati previdno. Kibernetski kriminalci pogosto prikrivajo zlonamerna sporočila kot legitimna obvestila, da bi prejemnike zavedli do razkritja občutljivih podatkov. Pri pregledovanju e-poštnih sporočil, zlasti tistih, ki zahtevajo prijavne poverilnice, je bistvenega pomena za preprečevanje vdora v račun...

Najbolj gledan

Nalaganje...