Иранские хакеры атакуют ключевые объекты США с помощью новых бэкдоров
Хакерская группировка, связанная с Ираном, проявляет активность в сетях ряда американских организаций с начала февраля, что вызывает опасения о возможных более масштабных кибероперациях на фоне эскалации геополитической напряжённости на Ближнем Востоке.
Новые бэкдоры, используемые Seedworm
Исследователи из Symantec и Carbon Black приписывают эту активность группе Seedworm (также известной как MuddyWater), иранской угрозе продвинутого постоянного действия (APT), связанной с Министерством разведки и безопасности Ирана (MOIS). Группа известна шпионскими кампаниями против государственных учреждений, телекоммуникационных компаний и объектов критической инфраструктуры.
По данным исследователей, подозрительная активность, связанная с Seedworm, была обнаружена в сетях следующих организаций:
- Американского банка
- Американского аэропорта
- Некоммерческих организаций
- Израильского подразделения американской софтверной компании, работающей на оборонную и аэрокосмическую отрасли.
Активность началась в начале февраля 2026 года и продолжается до последних дней. Группа была замечена в использовании ранее неизвестного вредоносного программного обеспечения.
- Бэкдор Dindoor, названный так из-за использования среды выполнения Deno для JavaScript и TypeScript с целью выполнения команд на заражённых машинах.
- Бэкдор на основе Python под названием Fakeset.
Согласно исследователям, Dindoor был подписан цифровым сертификатом, выданным на имя «Эми Черн». Fakeset также был подписан с использованием сертификатов, приписываемых как «Эми Черн», так и «Дональду Гэю». Последний ранее ассоциировался с вредоносным ПО Stagecomp и Darkcomp, используемым APT-группой Seedworm.
Целью, по-видимому, является шпионаж: злоумышленники пытались передать данные, похищенные у целевой софтверной компании, в облачное хранилище Wasabi с помощью инструмента с открытым исходным кодом Rclone.
«Хотя неизвестно, повлиял ли текущий конфликт на операции Seedworm, тот факт, что группа уже присутствовала в американских и израильских сетях до начала нынешних военных действий, означает, что она находится в потенциально опасной позиции для запуска атак», — отметили исследователи.
Неизвестно, какие уловки или эксплойты использовала APT-группа для первоначального проникновения в сети этих организаций.
Обнаруженный VPS раскрывает инструментарий Seedworm
В сопутствующих новостях, независимое исследовательское сообщество по угрозам Ctrl-Alt-Intel недавно заявило о доступе к инфраструктуре, используемой группой Seedworm / Muddy Water. Это позволило им собрать "инструментарий командных серверов, скрипты, логи, данные жертв и другие операционные артефакты с виртуального частного сервера, размещенного в Нидерландах".
Проанализировав собранные данные, исследователи выявили другие организации, ставшие мишенью группы: израильские организации (здравоохранение, хостинг, иммиграция, разведка), EgyptAir, правительство Иордании, различные компании ОАЭ, американские структуры, а также неправительственные организации, связанные с еврейской и израильской общинами.
"Раскрытая инфраструктура (...) даёт широкое представление об операции MuddyWater — от первоначальной разведки до эксфильтрации данных. Поражает не сложность какого-то отдельного инструмента или вредоносного ПО, а масштаб операции: бесчисленное множество атакованных организаций, несколько собственных фреймворков для командных серверов, эксплуатация более десятка уязвимостей CVE, включая новые уязвимости SQL-инъекций, кампании по перебору паролей, использование Ethereum для разрешения адресов командных серверов и множество каналов эксфильтрации данных через облачные хранилища и EC2-инстансы", — заключила группа.
"MuddyWater продолжает демонстрировать готовность быстро адаптировать публичный эксплойт-код, модифицировать его для оперативного использования и разворачивать в больших масштабах — и всё это параллельно с разработкой собственных инструментов."
Подпишитесь на нашу экстренную e-mail рассылку новостей, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!