Dindoor Backdoor

การวิจัยด้านข่าวกรองภัยคุกคามได้เปิดเผยหลักฐานการปฏิบัติการทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งแทรกซึมเข้าไปในเครือข่ายขององค์กรหลายแห่งทั่วทวีปอเมริกาเหนือได้สำเร็จ หน่วยงานที่ได้รับผลกระทบ ได้แก่ ธนาคาร สนามบิน องค์กรไม่แสวงหาผลกำไร และสาขาในอิสราเอลของบริษัทซอฟต์แวร์ที่ให้บริการด้านการป้องกันประเทศและอวกาศ

แคมเปญดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่ม MuddyWater หรือที่รู้จักกันในชื่อ Seedworm ซึ่งเป็นกลุ่มคุกคามที่เกี่ยวข้องกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) นักสืบประเมินว่าปฏิบัติการนี้เริ่มต้นขึ้นในช่วงต้นเดือนกุมภาพันธ์ 2026 กิจกรรมเครือข่ายที่เชื่อมโยงกับแคมเปญนี้ปรากฏขึ้นไม่นานหลังจากที่สหรัฐฯ และอิสราเอลทำการโจมตีทางทหารต่ออิหร่าน ซึ่งบ่งชี้ถึงความเป็นไปได้ว่ามีปัจจัยทางภูมิรัฐศาสตร์อยู่เบื้องหลังกิจกรรมทางไซเบอร์นี้

ดูเหมือนว่าเป้าหมายจะมุ่งเป้าไปที่แผนกในอิสราเอลของบริษัทผู้ให้บริการซอฟต์แวร์ดังกล่าวเป็นพิเศษ บริษัทนี้จัดหาโซลูชันให้กับหลายอุตสาหกรรม รวมถึงอุตสาหกรรมป้องกันประเทศและอวกาศ ทำให้เป็นเป้าหมายที่มีคุณค่าทางยุทธศาสตร์สำหรับการรวบรวมข้อมูลข่าวกรองและการก่อกวนที่อาจเกิดขึ้นได้

Dindoor: ช่องโหว่ลับที่เพิ่งถูกค้นพบซึ่งใช้ประโยชน์จาก Deno

นักวิเคราะห์ด้านความปลอดภัยที่ตรวจสอบการบุกรุกพบว่ามีการใช้งานแบ็กดอร์ที่ไม่เคยมีการบันทึกมาก่อนชื่อ Dindoor มัลแวร์นี้ใช้รันไทม์ JavaScript ของ Deno เป็นส่วนหนึ่งของสภาพแวดล้อมการทำงาน ซึ่งเป็นเทคนิคที่ค่อนข้างหายากและอาจช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับในระบบตรวจสอบความปลอดภัยแบบดั้งเดิมได้

การโจมตีที่เกี่ยวข้องกับผู้จำหน่ายซอฟต์แวร์ สถาบันการธนาคารของสหรัฐฯ และองค์กรไม่แสวงหาผลกำไรของแคนาดา ดูเหมือนจะเป็นช่องทางในการติดตั้งมัลแวร์ประเภทนี้

นอกจากนี้ยังพบหลักฐานการพยายามขโมยข้อมูลด้วย ผู้ตรวจสอบสังเกตเห็นการใช้โปรแกรม Rclone ในการถ่ายโอนข้อมูลจากสภาพแวดล้อมของบริษัทซอฟต์แวร์ที่ถูกโจมตีไปยังที่เก็บข้อมูลบนคลาวด์ที่โฮสต์อยู่บน Wasabi ในขณะที่ทำการวิเคราะห์ ยังไม่ชัดเจนว่าการพยายามขโมยข้อมูลนั้นประสบความสำเร็จหรือไม่

ช่องโหว่ Fakeset ปรากฏขึ้นในเครือข่ายที่ถูกบุกรุกเพิ่มเติม

ตรวจพบมัลแวร์อีกตัวหนึ่งชื่อ Fakeset ซึ่งเขียนด้วยภาษา Python ในเครือข่ายของสนามบินแห่งหนึ่งในสหรัฐอเมริกาและองค์กรไม่แสวงหาผลกำไรอีกแห่งหนึ่ง มัลแวร์ตัวนี้ถูกค้นพบจากโครงสร้างพื้นฐานที่เกี่ยวข้องกับ Backblaze ผู้ให้บริการจัดเก็บข้อมูลบนคลาวด์และสำรองข้อมูลในสหรัฐอเมริกา

มัลแวร์ดังกล่าวได้รับการลงนามดิจิทัลโดยใช้ใบรับรองที่เคยเชื่อมโยงกับตระกูลมัลแวร์อีกสองตระกูล ได้แก่ Stagecomp และ Darkcomp ซึ่งทั้งสองตระกูลนี้มีความเกี่ยวข้องกับปฏิบัติการของ MuddyWater ในอดีต

นักวิจัยด้านภัยคุกคามได้ระบุตัวอย่างมัลแวร์ที่มีลายเซ็นต่อไปนี้ซึ่งเชื่อมโยงกับระบบนิเวศของ MuddyWater:

• Trojan:Python/MuddyWater.DB!MTB
• แบ็คดอร์.ไพธอน.น้ำโคลน.เอ

แม้ว่า Stagecomp และ Darkcomp จะไม่ได้ถูกค้นพบในเครือข่ายที่ถูกบุกรุกซึ่งตรวจสอบในการสืบสวนครั้งนี้ แต่การใช้ใบรับรองดิจิทัลเดียวกันซ้ำๆ ชี้ให้เห็นอย่างชัดเจนว่าผู้ก่อภัยคุกคามรายเดียวกันมีส่วนเกี่ยวข้อง ซึ่งเป็นการตอกย้ำการระบุตัว Seedworm ว่าเป็นผู้กระทำความผิด

การขยายขีดความสามารถด้านไซเบอร์และกลยุทธ์วิศวกรรมสังคมของอิหร่าน

กลุ่มผู้คุกคามทางไซเบอร์ชาวอิหร่านได้พัฒนาขีดความสามารถในการปฏิบัติการอย่างมากในช่วงไม่กี่ปีที่ผ่านมา การพัฒนาและเครื่องมือมัลแวร์ของพวกเขามีความซับซ้อนมากขึ้น ทำให้สามารถแทรกซึมและเคลื่อนที่ภายในเครือข่ายของเหยื่อได้อย่างมีประสิทธิภาพยิ่งขึ้น

สิ่งที่น่าสังเกตไม่แพ้กันคือการขยายกลยุทธ์การโจมตีที่มุ่งเป้าไปที่มนุษย์ ผู้ปฏิบัติการชาวอิหร่านได้แสดงให้เห็นถึงวิธีการวิศวกรรมสังคมที่ก้าวหน้ามากขึ้นเรื่อยๆ รวมถึงแคมเปญฟิชชิงแบบเจาะจงเป้าหมายสูง และปฏิบัติการ "ฮันนี่แทรป" ระยะยาวที่ออกแบบมาเพื่อสร้างความไว้วางใจกับบุคคลเป้าหมาย กลยุทธ์เหล่านี้มักถูกใช้เพื่อเข้าถึงบัญชีหรือดึงข้อมูลที่ละเอียดอ่อนออกมา

การเฝ้าระวังผ่านกล้องวงจรปิดที่เปราะบาง

การสืบสวนคู่ขนานได้เปิดเผยว่า กลุ่มคุกคามอื่นๆ ที่เชื่อมโยงกับอิหร่านกำลังตรวจสอบอุปกรณ์เฝ้าระวังที่เชื่อมต่อกับอินเทอร์เน็ตอย่างแข็งขัน กลุ่มหนึ่งที่ชื่อว่า Agrius ซึ่งรู้จักกันในชื่อเล่นอื่นๆ เช่น Agonizing Serpens, Marshtreader และ Pink Sandstorm ถูกพบว่ากำลังสแกนหาโครงสร้างพื้นฐานการเฝ้าระวังวิดีโอที่มีช่องโหว่

นักวิจัยได้บันทึกความพยายามในการโจมตีกล้องและระบบอินเตอร์คอมวิดีโอของ Hikvision ผ่านช่องโหว่ที่ทราบกันดีอยู่แล้ว กิจกรรมเหล่านี้ทวีความรุนแรงขึ้นท่ามกลางความขัดแย้งในตะวันออกกลางที่กำลังดำเนินอยู่ โดยเฉพาะในอิสราเอลและรัฐต่างๆ ในอ่าวเปอร์เซีย

แคมเปญนี้มุ่งเน้นไปที่การใช้ประโยชน์จากช่องโหว่ที่ส่งผลกระทบต่ออุปกรณ์เฝ้าระวังจาก Dahua และ Hikvision ซึ่งรวมถึง:

• CVE-2017-7921
• CVE-2023-6895
• CVE-2021-36260
• CVE-2025-34067
• CVE-2021-33044

นักวิเคราะห์ด้านความปลอดภัยเชื่อว่าการรั่วไหลของข้อมูลดังกล่าวอาจสนับสนุนการรวบรวมข้อมูลข่าวกรองทางทหาร รวมถึงการเฝ้าระวังการปฏิบัติการและการประเมินความเสียหายจากการรบ (BDA) ที่เกี่ยวข้องกับการปฏิบัติการขีปนาวุธ ในบางกรณี การบุกรุกด้วยกล้องอาจเกิดขึ้นก่อนการยิงขีปนาวุธเพื่อช่วยในการกำหนดเป้าหมายหรือตรวจสอบผลลัพธ์

กิจกรรมทางไซเบอร์เป็นขั้นตอนก่อนการปฏิบัติการทางทหาร

การกำหนดเป้าหมายโครงสร้างพื้นฐานด้านการเฝ้าระวังอย่างเป็นระบบนั้นสอดคล้องกับการประเมินที่มีมาอย่างยาวนานว่า หลักการทางไซเบอร์ของอิหร่านได้บูรณาการการสอดแนมทางดิจิทัลเข้ากับการวางแผนทางทหารในวงกว้าง กล้องที่ถูกบุกรุกสามารถให้ข้อมูลข่าวกรองทางภาพแบบเรียลไทม์และการรับรู้สถานการณ์ได้

ด้วยเหตุนี้ การตรวจสอบกิจกรรมการสแกนและการพยายามโจมตีโครงสร้างพื้นฐานของกล้องวงจรปิดที่เชื่อมโยงกับสินทรัพย์ทางไซเบอร์ของอิหร่านที่เป็นที่รู้จัก อาจทำหน้าที่เป็นสัญญาณเตือนล่วงหน้าสำหรับปฏิบัติการทางทหารที่อาจเกิดขึ้นตามมา

ความเสี่ยงจากการตอบโต้ทางไซเบอร์ที่เพิ่มสูงขึ้น

ความขัดแย้งที่ทวีความรุนแรงขึ้นระหว่างสหรัฐอเมริกา อิสราเอล และอิหร่าน ได้เพิ่มความเสี่ยงต่อการตอบโต้ทางไซเบอร์ เพื่อตอบสนองต่อภัยคุกคามที่เพิ่มขึ้น ศูนย์ความปลอดภัยทางไซเบอร์แห่งแคนาดา (CCCS) จึงได้ออกคำเตือนว่า อิหร่านมีแนวโน้มที่จะใช้ศักยภาพทางไซเบอร์ของตนโจมตีโครงสร้างพื้นฐานที่สำคัญ และดำเนินการปฏิบัติการแทรกแซงหรือปฏิบัติการด้านข้อมูลเพื่อผลประโยชน์เชิงยุทธศาสตร์

พัฒนาการเหล่านี้เน้นย้ำถึงบทบาทที่ขยายตัวของโลกไซเบอร์ในฐานะสนามรบคู่ขนานในความขัดแย้งทางภูมิรัฐศาสตร์ ซึ่งการจารกรรม การก่อกวน และการรวบรวมข้อมูลข่าวกรองเกิดขึ้นควบคู่ไปกับการปฏิบัติการทางทหารแบบดั้งเดิมมากขึ้นเรื่อยๆ