Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Dindoor Backdoor

Dindoor Backdoor

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Dịch sang:

Nghiên cứu tình báo về các mối đe dọa đã phát hiện bằng chứng về một chiến dịch tấn công mạng do nhà nước Iran hậu thuẫn, đã xâm nhập thành công vào mạng lưới của nhiều tổ chức trên khắp Bắc Mỹ. Các thực thể bị ảnh hưởng bao gồm các ngân hàng, sân bay, tổ chức phi lợi nhuận và chi nhánh tại Israel của một công ty phần mềm phục vụ lĩnh vực quốc phòng và hàng không vũ trụ.

Chiến dịch này được cho là do MuddyWater, hay còn gọi là Seedworm, một nhóm tội phạm mạng có liên hệ với Bộ Tình báo và An ninh Iran (MOIS), thực hiện. Các nhà điều tra đánh giá rằng chiến dịch bắt đầu vào đầu tháng 2 năm 2026. Hoạt động mạng liên quan đến chiến dịch này xuất hiện ngay sau các cuộc tấn công quân sự do Hoa Kỳ và Israel tiến hành chống lại Iran, cho thấy một động cơ địa chính trị tiềm tàng đằng sau hoạt động mạng này.

Dường như sự chú ý đặc biệt đã được tập trung vào chi nhánh tại Israel của nhà cung cấp phần mềm mục tiêu. Công ty này cung cấp giải pháp cho nhiều ngành công nghiệp, bao gồm quốc phòng và hàng không vũ trụ, khiến nó trở thành mục tiêu có giá trị chiến lược cho việc thu thập thông tin tình báo và khả năng gây rối.

Dindoor: Một lỗ hổng bảo mật mới được phát hiện tận dụng Deno

Các chuyên gia phân tích an ninh khi kiểm tra các vụ xâm nhập đã phát hiện việc triển khai một phần mềm độc hại cửa hậu chưa từng được ghi nhận trước đây có tên là Dindoor. Phần mềm độc hại này sử dụng môi trường thực thi JavaScript Deno, một kỹ thuật tương đối hiếm gặp có thể giúp phần mềm độc hại tránh bị phát hiện trong các hệ thống giám sát an ninh truyền thống.

Các cuộc tấn công nhắm vào nhà cung cấp phần mềm, một tổ chức ngân hàng của Mỹ và một tổ chức phi lợi nhuận của Canada dường như đã đóng vai trò là điểm xâm nhập để cài đặt phần mềm độc hại này.

Bằng chứng về nỗ lực đánh cắp dữ liệu cũng đã được xác định. Các nhà điều tra đã quan sát thấy việc sử dụng tiện ích Rclone để chuyển thông tin từ môi trường của công ty phần mềm bị xâm nhập sang một kho lưu trữ đám mây được đặt trên Wasabi. Tại thời điểm phân tích, vẫn chưa rõ liệu nỗ lực đánh cắp dữ liệu cuối cùng có thành công hay không.

Phần mềm độc hại Fakeset xuất hiện trong thêm nhiều mạng bị xâm nhập.

Một thành phần phần mềm độc hại riêng biệt có tên Fakeset, được viết bằng Python, đã được phát hiện trong mạng lưới của một sân bay ở Mỹ và một tổ chức phi lợi nhuận khác. Phần mềm độc hại này được lấy từ cơ sở hạ tầng liên quan đến Backblaze, một nhà cung cấp dịch vụ lưu trữ đám mây và sao lưu có trụ sở tại Mỹ.

Phần mềm độc hại này được ký điện tử bằng chứng chỉ đã từng được liên kết với hai họ phần mềm độc hại khác là Stagecomp và Darkcomp, cả hai đều có liên quan đến các hoạt động của MuddyWater trong quá khứ.

Các nhà nghiên cứu về mối đe dọa đã xác định được các mẫu phần mềm độc hại mang các chữ ký sau đây có liên quan đến hệ sinh thái MuddyWater:

  • Trojan:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Mặc dù Stagecomp và Darkcomp không được phát hiện trên các mạng bị xâm nhập được kiểm tra trong cuộc điều tra này, việc tái sử dụng cùng một chứng chỉ số cho thấy mạnh mẽ sự tham gia của cùng một tác nhân đe dọa, củng cố thêm kết luận cho rằng Seedworm là thủ phạm.

Iran đang mở rộng năng lực mạng và các chiến thuật tấn công phi kỹ thuật số.

Các tác nhân đe dọa mạng của Iran đã cải thiện đáng kể khả năng hoạt động của chúng trong những năm gần đây. Việc phát triển phần mềm độc hại và các công cụ của chúng ngày càng tinh vi hơn, cho phép chúng duy trì hoạt động một cách lén lút hơn và di chuyển ngang hiệu quả hơn bên trong mạng lưới của nạn nhân.

Điều đáng chú ý không kém là sự mở rộng các chiến lược tấn công nhắm vào con người của chúng. Các nhà điều hành mạng Iran đã thể hiện các phương pháp kỹ thuật xã hội ngày càng tinh vi, bao gồm các chiến dịch tấn công lừa đảo có chủ đích cao và các hoạt động "bẫy tình" dài hạn được thiết kế để xây dựng lòng tin với các cá nhân mục tiêu. Những chiến thuật này thường được sử dụng để giành quyền truy cập tài khoản hoặc lấy cắp thông tin nhạy cảm.

Giám sát thông qua các camera dễ bị tấn công

Các cuộc điều tra song song đã tiết lộ rằng các nhóm tội phạm mạng khác có liên hệ với Iran đang tích cực dò xét các thiết bị giám sát kết nối internet. Một trong những nhóm này, Agrius, còn được biết đến với các bí danh Agonizing Serpens, Marshtreader và Pink Sandstorm, đã được quan sát thấy đang quét tìm các lỗ hổng trong cơ sở hạ tầng giám sát video.

Các nhà nghiên cứu đã ghi nhận các nỗ lực khai thác lỗ hổng bảo mật nhắm vào camera và hệ thống liên lạc video của Hikvision. Các hoạt động này đã gia tăng trong bối cảnh xung đột ở Trung Đông, đặc biệt là ở Israel và một số quốc gia vùng Vịnh.

Chiến dịch này tập trung vào việc khai thác các lỗ hổng ảnh hưởng đến thiết bị giám sát của Dahua và Hikvision, bao gồm:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Các nhà phân tích an ninh tin rằng những sự xâm nhập như vậy có thể hỗ trợ việc thu thập thông tin tình báo quân sự, bao gồm giám sát hoạt động và đánh giá thiệt hại chiến đấu (BDA) liên quan đến các hoạt động tên lửa. Trong một số trường hợp, việc xâm nhập bằng camera có thể xảy ra trước khi phóng tên lửa để hỗ trợ việc nhắm mục tiêu hoặc giám sát kết quả.

Hoạt động mạng như một tiền đề cho các hoạt động quân sự thực tế

Việc nhắm mục tiêu phối hợp vào cơ sở hạ tầng giám sát phù hợp với các đánh giá từ lâu cho rằng học thuyết an ninh mạng của Iran tích hợp hoạt động trinh sát kỹ thuật số vào kế hoạch quân sự rộng lớn hơn. Các camera bị xâm nhập có thể cung cấp thông tin tình báo hình ảnh và nhận thức tình huống theo thời gian thực.

Do đó, việc giám sát hoạt động quét và các nỗ lực khai thác nhằm vào cơ sở hạ tầng camera liên kết với các tài sản mạng đã biết của Iran có thể đóng vai trò như một tín hiệu cảnh báo sớm cho các hoạt động tấn công quân sự tiếp theo tiềm tàng.

Nguy cơ trả đũa trên mạng ngày càng gia tăng

Cuộc xung đột leo thang giữa Hoa Kỳ, Israel và Iran đã làm gia tăng nguy cơ trả đũa trên không gian mạng. Trước tình hình mối đe dọa ngày càng gia tăng, Trung tâm An ninh mạng Canada (CCCS) đã đưa ra cảnh báo rằng Iran có khả năng sẽ tận dụng năng lực mạng của mình để tấn công cơ sở hạ tầng trọng yếu và tiến hành các hoạt động gây ảnh hưởng hoặc đánh cắp thông tin nhằm thúc đẩy các lợi ích chiến lược.

Những diễn biến này làm nổi bật vai trò ngày càng mở rộng của không gian mạng như một chiến trường song song trong các cuộc xung đột địa chính trị, nơi hoạt động gián điệp, phá hoại và thu thập thông tin tình báo ngày càng song hành cùng các hành động quân sự truyền thống.

xu hướng

Tài liệu đã được chia sẻ với bạn trên SharePoint -...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu hành động ngay lập tức luôn cần được xử lý thận trọng. Tội phạm mạng thường ngụy trang các tin nhắn độc hại thành các thông báo hợp pháp để lừa người nhận tiết lộ thông tin nhạy cảm. Việc cảnh giác khi xem xét email, đặc biệt là những email yêu cầu thông tin đăng nhập, là điều cần thiết để ngăn chặn việc tài khoản bị xâm phạm và thiệt hại về tài chính. Điều quan...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
21,830
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...