Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Задній ход Dindoor

Задній ход Dindoor

До Mezo року в Шкідливе програмне забезпечення, Розширена постійна загроза (APT), Backdoors році
Перекласти на:

Дослідження розвідки загроз виявило докази кібероперації, пов'язаної з іранською державою, яка успішно впровадила свої послуги в мережі кількох організацій по всій Північній Америці. Серед постраждалих організацій – банки, аеропорти, некомерційні організації та ізраїльське відділення компанії-розробника програмного забезпечення, що обслуговує оборонний та аерокосмічний сектори.

Кампанія приписується MuddyWater, також відомій як Seedworm, групі загроз, пов'язаній з Міністерством розвідки та безпеки Ірану (MOIS). Слідчі оцінюють, що операція розпочалася на початку лютого 2026 року. Мережева активність, пов'язана з кампанією, з'явилася невдовзі після військових ударів, завданих Сполученими Штатами та Ізраїлем проти Ірану, що свідчить про потенційний геополітичний тригер кіберактивності.

Особлива увага, схоже, була спрямована на ізраїльський підрозділ постачальника програмного забезпечення, проти якого було зроблено хакерську атаку. Компанія постачає рішення для багатьох галузей промисловості, включаючи оборонну та аерокосмічну, що робить її стратегічно цінною ціллю для збору розвідувальних даних та потенційних зривів.

Dindoor: нещодавно виявлений бекдор, що використовує Deno

Аналітики безпеки, які досліджували вторгнення, виявили розгортання раніше недокументованого бекдору під назвою Dindoor. Шкідливе програмне забезпечення використовує середовище виконання JavaScript Deno як частину свого середовища виконання, що є відносно рідкісним методом, який може допомогти шкідливому програмному забезпеченню уникнути виявлення в традиційних системах моніторингу безпеки.

Атаки, в яких брали участь постачальник програмного забезпечення, банківська установа США та канадська некомерційна організація, ймовірно, послужили точками входу для встановлення цього бекдору.

Також було виявлено докази спроби викрадання даних. Слідчі спостерігали використання утиліти Rclone для передачі інформації з середовища скомпрометованої компанії-розробника програмного забезпечення до хмарного сховища, розміщеного на Wasabi. На момент аналізу залишалося незрозумілим, чи була спроба викрадання даних зрештою успішною.

Бекдор Fakeset з’являється в інших скомпрометованих мережах

Окремий компонент шкідливого програмного забезпечення, відомий як Fakeset, написаний на Python, було виявлено в мережах американського аеропорту та іншої некомерційної організації. Цей бекдор було отримано з інфраструктури, пов'язаної з Backblaze, американським постачальником хмарних сховищ та резервного копіювання.

Шкідливе корисне навантаження було підписано цифровим підписом за допомогою сертифіката, який раніше був пов'язаний з двома іншими сімействами шкідливих програм, Stagecomp та Darkcomp, обидва з яких історично пов'язані з операціями MuddyWater.

Дослідники загроз виявили зразки шкідливого програмного забезпечення з такими сигнатурами, пов'язаними з екосистемою MuddyWater:

  • Троян:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Хоча самі Stagecomp та Darkcomp не були виявлені у скомпрометованих мережах, досліджених у цьому розслідуванні, повторне використання одного й того ж цифрового сертифіката переконливо свідчить про причетність одного й того ж зловмисника, що підтверджує атрибуцію Seedworm.

Розширення кіберможливостей Ірану та тактики соціальної інженерії

Іранські кіберзлочинці значно покращили свої оперативні можливості за останні роки. Їхні розробки та інструменти шкідливого програмного забезпечення стали більш досконалими, що дозволяє їм приховувати свої дії та ефективніше переміщатися всередині мереж жертв.

Не менш помітним є розширення їхніх стратегій атак, орієнтованих на людину. Іранські оператори продемонстрували дедалі просунутіші методи соціальної інженерії, включаючи цілеспрямовані фішингові кампанії та довгострокові операції «медової пастки», спрямовані на побудову довіри з зацікавленими особами. Ці тактики часто використовуються для отримання доступу до облікового запису або вилучення конфіденційної інформації.

Спостереження за допомогою вразливих камер

Паралельні розслідування показали, що інші пов'язані з Іраном групи зловмисників активно досліджують підключені до Інтернету пристрої спостереження. Одного з таких учасників, Агріуса, також відомого під псевдонімами Agonizing Serpens, Marshreader та Pink Sandstorm, було помічено під час сканування на наявність вразливої інфраструктури відеоспостереження.

Дослідники задокументували спроби проникнення в камери Hikvision та системи відеодомофонів через відомі вразливості. Ця діяльність посилилась на тлі триваючого конфлікту на Близькому Сході, особливо в Ізраїлі та кількох країнах Перської затоки.

Кампанія зосереджена на використанні вразливостей, що впливають на обладнання для спостереження Dahua та Hikvision, зокрема:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Аналітики з безпеки вважають, що такі компрометації можуть сприяти збору військової розвідки, включаючи оперативне спостереження та оцінку бойових пошкоджень (BDA), пов'язаних з ракетними операціями. У деяких випадках вторгнення в камери може відбуватися перед пусками ракет, щоб допомогти у націлюванні або моніторингу результатів.

Кіберактивність як передумова кінетичних операцій

Скоординоване націлювання на інфраструктуру спостереження узгоджується з давніми оцінками, що іранська кібердоктрина інтегрує цифрову розвідку в ширше військове планування. Скомпрометовані камери можуть забезпечувати візуальну розвідку в режимі реального часу та ситуаційну обізнаність.

Отже, моніторинг скануючої активності та спроб використання інфраструктури камер, пов'язаної з відомими іранськими кіберактивами, може служити раннім сигналом попередження про потенційні подальші кінетичні операції.

Зростання ризиків кіберпомсти

Ескалація конфлікту між Сполученими Штатами, Ізраїлем та Іраном підвищила ризик кіберпомсти. У відповідь на зростання рівня загроз Канадський центр кібербезпеки (CCCS) видав попередження про те, що Іран, ймовірно, використовуватиме свої кіберможливості проти критичної інфраструктури та проводитиме операції з впливу чи інформаційні операції для просування стратегічних інтересів.

Ці події підкреслюють зростання ролі кіберпростору як паралельного поля бою під час геополітичних конфліктів, де шпигунство, руйнування та збір розвідувальних даних все частіше супроводжують традиційні військові дії.

В тренді

Stratochainedge.com

Шахрайські веб-сайти, рекламне ПЗ, Викрадачі браузера
Під час перегляду інтернету критично важливо бути обережним, оскільки кіберзлочинці постійно розробляють оманливі методи для експлуатації нічого не підозрюючих користувачів. Шахрайські веб-сайти...

Вам надали доступ до документа в рамках шахрайства з...

Фішинг, Спам
Несподівані електронні листи, що закликають до негайних дій, завжди слід розглядати з обережністю. Кіберзлочинці часто маскують шкідливі повідомлення під законні сповіщення, щоб обманом змусити одержувачів розкрити конфіденційну інформацію. Пильність під час перегляду електронних листів, особливо тих, що запитують облікові дані для входу, є важливою для запобігання компрометації облікового...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
21,830
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...