Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Dindoor Backdoor

Dindoor Backdoor

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Hulumtimi i inteligjencës së kërcënimeve ka zbuluar prova të një operacioni kibernetik të lidhur me shtetin iranian, i cili u integrua me sukses në rrjetet e disa organizatave në të gjithë Amerikën e Veriut. Entitetet e prekura përfshijnë banka, aeroporte, organizata jofitimprurëse dhe degën izraelite të një kompanie softuerësh që i shërben sektorëve të mbrojtjes dhe hapësirës ajrore.

Fushata i është atribuar MuddyWater, i njohur edhe si Seedworm, një grup kërcënimi i lidhur me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS). Hetuesit vlerësojnë se operacioni filloi në fillim të shkurtit 2026. Aktiviteti i rrjetit i lidhur me fushatën u shfaq menjëherë pas sulmeve ushtarake të kryera nga Shtetet e Bashkuara dhe Izraeli kundër Iranit, duke sugjeruar një shkaktar të mundshëm gjeopolitik pas aktivitetit kibernetik.

Vëmendje e veçantë duket se i është kushtuar degës izraelite të ofruesit të softuerëve të synuar. Kompania furnizon zgjidhje për industri të shumta, duke përfshirë mbrojtjen dhe hapësirën ajrore, duke e bërë atë një objektiv strategjikisht të vlefshëm për mbledhjen e inteligjencës dhe ndërprerjet e mundshme.

Dindoor: Një derë e pasme e identifikuar rishtazi që përdor Deno-n

Analistët e sigurisë që shqyrtuan ndërhyrjet identifikuan vendosjen e një dere të pasme të padokumentuar më parë të quajtur Dindoor. Malware përdor kohën e ekzekutimit Deno JavaScript si pjesë të mjedisit të tij të ekzekutimit, një teknikë relativisht e pazakontë që mund ta ndihmojë malware-in të shmangë zbulimin në sistemet tradicionale të monitorimit të sigurisë.

Sulmet që përfshijnë shitësin e softuerit, një institucion bankar amerikan dhe një organizatë jofitimprurëse kanadeze duket se kanë shërbyer si pika hyrëse për instalimin e kësaj dere të fshehtë.

U identifikuan gjithashtu prova të një përpjekjeje për nxjerrjen e të dhënave. Hetuesit vunë re përdorimin e programit Rclone për të transferuar informacion nga mjedisi i kompanisë së softuerit të kompromentuar në një "shportë" ruajtjeje në cloud të vendosur në Wasabi. Në kohën e analizës, mbeti e paqartë nëse përpjekja për nxjerrjen e të dhënave ishte përfundimisht e suksesshme.

Fakeset Backdoor shfaqet në rrjete të tjera të kompromentuara

Një komponent i veçantë i malware-it i njohur si Fakeset, i shkruar në Python, u zbulua brenda rrjeteve të një aeroporti amerikan dhe një organizate tjetër jofitimprurëse. Kjo derë e pasme u mor nga infrastruktura e lidhur me Backblaze, një ofrues i ruajtjes së të dhënave në cloud dhe kopjeve rezervë me bazë në SHBA.

Ngarkesa keqdashëse u nënshkrua dixhitalisht duke përdorur një certifikatë që më parë është lidhur me dy familje të tjera të programeve keqdashëse, Stagecomp dhe Darkcomp, të dyja historikisht të lidhura me operacionet e MuddyWater.

Studiuesit e kërcënimeve kanë identifikuar mostra të malware-it që mbajnë nënshkrimet e mëposhtme të lidhura me ekosistemin MuddyWater:

  • Trojan:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Edhe pse vetë Stagecomp dhe Darkcomp nuk u zbuluan në rrjetet e kompromentuara të shqyrtuara në këtë hetim, ripërdorimi i të njëjtës certifikatë dixhitale sugjeron fuqimisht përfshirjen e të njëjtit aktor kërcënimi, duke përforcuar atribuimin te Seedworm.

Zgjerimi i Aftësive Kibernetike Iraniane dhe Taktikave të Inxhinierisë Sociale

Aktorët iranianë të kërcënimeve kibernetike kanë përmirësuar ndjeshëm aftësitë e tyre operacionale vitet e fundit. Zhvillimi dhe mjetet e tyre të programeve keqdashëse janë bërë më të sofistikuara, duke mundësuar qëndrueshmëri më të fshehtë dhe lëvizje anësore më efektive brenda rrjeteve të viktimave.

Po aq i dukshëm është zgjerimi i strategjive të tyre të sulmit të fokusuara te njerëzit. Operatorët iranianë kanë demonstruar metoda gjithnjë e më të përparuara të inxhinierisë sociale, duke përfshirë fushata shumë të synuara të spear-phishing dhe operacione afatgjata 'honeytrap' të dizajnuara për të ndërtuar besim me individët me interes. Këto taktika përdoren shpesh për të fituar akses në llogari ose për të nxjerrë informacione të ndjeshme.

Mbikëqyrje përmes kamerave të cenueshme

Hetimet paralele kanë zbuluar se grupe të tjera kërcënuese të lidhura me Iranin po hetojnë në mënyrë aktive pajisjet e mbikëqyrjes së lidhura me internetin. Një aktor i tillë, Agrius, i njohur edhe me pseudonimet Agonizing Serpens, Marshtreader dhe Pink Sandstorm, është vërejtur duke skanuar për infrastrukturë të cenueshme të mbikëqyrjes me video.

Studiuesit dokumentuan përpjekje shfrytëzimi që synonin kamerat dhe sistemet e interfonit video Hikvision përmes dobësive të njohura. Këto aktivitete janë intensifikuar mes konfliktit të vazhdueshëm në Lindjen e Mesme, veçanërisht në Izrael dhe në disa shtete të Gjirit.

Fushata është përqendruar në shfrytëzimin e dobësive që ndikojnë në pajisjet e mbikëqyrjes nga Dahua dhe Hikvision, duke përfshirë:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Analistët e sigurisë besojnë se komprometime të tilla mund të mbështesin mbledhjen e inteligjencës ushtarake, duke përfshirë mbikëqyrjen operative dhe vlerësimin e dëmeve nga beteja (BDA) në lidhje me operacionet me raketa. Në disa raste, ndërhyrjet në kamera mund të ndodhin para lëshimit të raketave për të ndihmuar në synimin ose monitorimin e rezultateve.

Aktiviteti Kibernetik si Pararendës i Operacioneve Kinetike

Synimi i koordinuar i infrastrukturës së mbikëqyrjes përputhet me vlerësimet e hershme se doktrina kibernetike iraniane integron zbulimin dixhital në planifikimin më të gjerë ushtarak. Kamerat e kompromentuara mund të ofrojnë inteligjencë vizuale në kohë reale dhe ndërgjegjësim për situatën.

Si pasojë, monitorimi i aktivitetit të skanimit dhe përpjekjet e shfrytëzimit kundër infrastrukturës së kamerave të lidhura me asetet kibernetike të njohura iraniane mund të shërbejnë si një sinjal paralajmërues i hershëm për operacione të mundshme kinetike pasuese.

Rreziqet në rritje të hakmarrjes kibernetike

Konflikti në përshkallëzim që përfshin Shtetet e Bashkuara, Izraelin dhe Iranin ka rritur rrezikun e hakmarrjes kibernetike. Në përgjigje të peizazhit në rritje të kërcënimeve, Qendra Kanadeze për Sigurinë Kibernetike (CCCS) ka lëshuar një paralajmërim këshillues se Irani ka të ngjarë të shfrytëzojë aftësitë e tij kibernetike kundër infrastrukturës kritike dhe të kryejë operacione ndikimi ose informacioni për të çuar përpara interesat strategjike.

Këto zhvillime nxjerrin në pah rolin në zgjerim të hapësirës kibernetike si një fushë beteje paralele gjatë konflikteve gjeopolitike, ku spiunazhi, përçarja dhe mbledhja e inteligjencës shoqërojnë gjithnjë e më shumë veprimet tradicionale ushtarake.

Në trend

Dokumenti është ndarë me ju në mashtrimin me email...

Fishing, Spam
Emailet e papritura që kërkojnë veprim të menjëhershëm duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh i maskojnë mesazhet keqdashëse si njoftime legjitime për të mashtruar marrësit që të zbulojnë informacione të ndjeshme. Të qëndrosh vigjilent gjatë shqyrtimit të emaileve, veçanërisht atyre që kërkojnë kredencialet e hyrjes, është thelbësore për të parandaluar...

Më e shikuara

Po ngarkohet...