Dindoor Backdoor

翻译为：

威胁情报研究发现，伊朗支持的某个网络组织成功渗透到北美多家机构的网络中。受影响的机构包括银行、机场、非营利组织以及一家服务于国防和航空航天领域的软件公司的以色列分公司。

此次网络攻击活动被认为是与伊朗情报与安全部（MOIS）有关联的威胁组织“浑水”（MuddyWater，又名“种子虫”）所为。调查人员评估，该行动始于2026年2月初。与此次攻击活动相关的网络活动在美国和以色列对伊朗发动军事打击后不久便出现，这表明此次网络活动背后可能存在地缘政治因素。

此次行动似乎特别关注了这家目标软件供应商的以色列分公司。该公司为包括国防和航空航天在内的多个行业提供解决方案，使其成为情报收集和潜在破坏行动中具有重要战略价值的目标。

安全分析师在调查入侵事件时发现，攻击者部署了一种此前未被记录的后门程序，名为 Dindoor。该恶意软件在其执行环境中使用了 Deno JavaScript 运行时环境，这种相对不常见的技术可能有助于恶意软件逃避传统安全监控系统的检测。

涉及软件供应商、美国银行机构和加拿大非营利组织的攻击似乎成为了安装此后门的入口。

调查人员还发现了数据窃取未遂的证据。他们观察到有人使用 Rclone 工具将信息从受感染软件公司的环境中传输到 Wasabi 托管的云存储桶。截至分析时，尚不清楚此次数据窃取尝试最终是否成功。

一个名为 Fakeset 的独立恶意软件组件（用 Python 编写）在美国一家机场和另一家非营利组织的网络中被检测到。该后门程序是从与总部位于美国的云存储和备份服务提供商 Backblaze 相关的基础设施中获取的。

恶意载荷使用一个证书进行数字签名，该证书此前已与另外两个恶意软件家族 Stagecomp 和 Darkcomp 相关联，这两个家族都与 MuddyWater 的行动有着历史渊源。

威胁研究人员已发现与 MuddyWater 生态系统相关的恶意软件样本，其特征如下：

虽然在本次调查中检查的受感染网络中没有发现 Stagecomp 和 Darkcomp 本身，但重复使用相同的数字证书强烈表明是同一威胁行为者所为，从而强化了对 Seedworm 的归因。

近年来，伊朗网络威胁行为者的行动能力显著提升。他们的恶意软件开发和工具运用日趋复杂，使其能够在受害者网络中实现更隐蔽的持久化攻击和更有效的横向移动。

同样值得注意的是，伊朗黑客组织不断扩展其以人为本的攻击策略。他们展现出日益精湛的社会工程学技巧，包括精准的鱼叉式网络钓鱼攻击和旨在建立目标人物信任的长期“美人计”行动。这些策略常被用于获取账户访问权限或窃取敏感信息。

平行调查显示，其他与伊朗有关联的威胁组织正在积极探测联网监控设备。其中一个组织名为Agrius，也使用Agonizing Serpens、Marshtreader和Pink Sandstorm等化名，已被发现正在扫描易受攻击的视频监控基础设施。

研究人员记录了利用已知漏洞攻击海康威视摄像头和可视对讲系统的企图。在持续的中东冲突中，这些活动愈演愈烈，尤其是在以色列和一些海湾国家。

该攻击活动主要针对大华和海康威视监控设备的漏洞，包括：

安全分析人士认为，此类入侵可能有助于军事情报收集，包括与导弹作战相关的作战监视和战损评估（BDA）。在某些情况下，摄像头入侵可能发生在导弹发射之前，以协助进行目标定位或监测作战效果。

对监控基础设施的协同攻击符合长期以来的评估，即伊朗的网络战略已将数字侦察融入更广泛的军事规划中。被入侵的摄像头可以提供实时视觉情报和态势感知。

因此，监控与已知的伊朗网络资产相关的摄像头基础设施的扫描活动和利用尝试，可以作为潜在后续军事行动的早期预警信号。

美国、以色列和伊朗之间不断升级的冲突加剧了网络报复的风险。为应对日益严峻的网络威胁形势，加拿大网络安全中心（CCCS）发布警告称，伊朗很可能利用其网络能力攻击关键基础设施，并开展影响力或信息战以推进其战略利益。

这些发展凸显了网络空间在地缘政治冲突中作为平行战场的作用日益扩大，间谍活动、破坏活动和情报收集活动越来越多地伴随着传统的军事行动。

搜索