Dindoor Backdoor

翻譯為：

威脅情報研究發現，伊朗支持的某個網路組織成功滲透到北美多個機構的網路中。受影響的機構包括銀行、機場、非營利組織以及一家服務於國防和航空航天領域的軟體公司的以色列分公司。

這次網路攻擊活動被認為是與伊朗情報與安全部（MOIS）有關的威脅組織「渾水」（MuddyWater，又稱「種子蟲」）所為。調查人員評估，該行動始於2026年2月初。與此攻擊活動相關的網路活動在美國和以色列對伊朗發動軍事打擊後不久便出現，顯示這場網路活動背後可能存在地緣政治因素。

這項行動似乎特別關注了這家目標軟體供應商的以色列分公司。該公司為包括國防和航空航太在內的多個產業提供解決方案，使其成為情報收集和潛在破壞行動中具有重要戰略價值的目標。

安全分析師在調查入侵事件時發現，攻擊者部署了一種先前未被記錄的後門程序，名為 Dindoor。該惡意軟體在其執行環境中使用了 Deno JavaScript 執行環境，這種相對不常見的技術可能有助於惡意軟體逃避傳統安全監控系統的偵測。

涉及軟體供應商、美國銀行機構和加拿大非營利組織的攻擊似乎成為了安裝此後門的入口。

調查人員還發現了資料竊取未遂的證據。他們觀察到有人使用 Rclone 工具將資訊從受感染軟體公司的環境中傳輸到 Wasabi 託管的雲端儲存桶。截至分析時，尚不清楚此資料竊取嘗試最終是否成功。

一個名為 Fakeset 的獨立惡意軟體元件（用 Python 編寫）在美國一家機場和另一個非營利組織的網路中被偵測到。此後門程式是從與總部位於美國的雲端儲存和備份服務供應商 Backblaze 相關的基礎設施中取得的。

惡意載荷使用一個證書進行數位簽名，該證書先前已與另外兩個惡意軟體家族 Stagecomp 和 Darkcomp 相關聯，這兩個家族都與 MuddyWater 的行動有著歷史淵源。

威脅研究人員已發現與 MuddyWater 生態系統相關的惡意軟體樣本，其特徵如下：

雖然在本次調查中檢查的受感染網絡中沒有發現 Stagecomp 和 Darkcomp 本身，但重複使用相同的數位證書強烈表明是同一威脅行為者所為，從而強化了對 Seedworm 的歸因。

近年來，伊朗網路威脅行為者的行動能力顯著提升。他們的惡意軟體開發和工具運用日益複雜，使其能夠在受害者網路中實現更隱蔽的持久化攻擊和更有效的橫向移動。

同樣值得注意的是，伊朗駭客組織不斷擴展以人為本的攻擊策略。他們展現出日益精湛的社會工程技巧，包括精準的魚叉式網路釣魚攻擊和旨在建立目標人物信任的長期「美人計」行動。這些策略常被用來取得帳戶存取權限或竊取敏感資訊。

平行調查顯示，其他與伊朗有關聯的威脅組織正在積極探測連網監控設備。其中一個組織名為Agrius，也使用Agonizing Serpens、Marshtreader和Pink Sandstorm等化名，已被發現正在掃描易受攻擊的視訊監控基礎設施。

研究人員記錄了利用已知漏洞攻擊海康威視攝影機和可視對講系統的企圖。在持續的中東衝突中，這些活動愈演愈烈，尤其是在以色列和一些海灣國家。

該攻擊活動主要針對大華和海康威視監控設備的漏洞，包括：

安全分析家認為，此類入侵可能有助於軍事情報收集，包括與飛彈作戰相關的作戰監視和戰損評估（BDA）。在某些情況下，攝影機入侵可能發生在飛彈發射之前，以協助目標定位或監控作戰效果。

對監控基礎設施的協同攻擊符合長期以來的評估，即伊朗的網路戰略已將數位偵察融入更廣泛的軍事規劃中。被入侵的攝影機可以提供即時視覺情報和態勢感知。

因此，監控與已知的伊朗網路資產相關的攝影機基礎設施的掃描活動和利用嘗試，可以作為潛在後續軍事行動的早期預警信號。

美國、以色列和伊朗之間不斷升級的衝突加劇了網路報復的風險。為應對日益嚴峻的網路威脅情勢，加拿大網路安全中心（CCCS）發布警告稱，伊朗很可能利用其網路能力攻擊關鍵基礎設施，並開展影響力或資訊戰以推進其戰略利益。

這些發展凸顯了網路空間在地緣政治衝突中作為平行戰場的角色日益擴大，間諜活動、破壞活動和情報收集活動越來越多地伴隨著傳統的軍事行動。

搜索