Иранские хакеры MuddyWater внедрили новый бэкдор Dindoor в сети США
Исследователи безопасности из Symantec компании Broadcom и Carbon Black Threat Hunter Team раскрыли кампанию иранской хакерской группировки MuddyWater, также известной как Seedworm, которая действует по указанию государства. Группировке удалось глубоко внедриться в сети ряда американских организаций, включая банк, аэропорт, некоммерческую организацию и израильское подразделение софтверной компании. Активность, как оценивается, началась в начале февраля, а недавние вторжения были обнаружены после военных ударов США и Израиля по Ирану. Целевая софтверная компания является поставщиком для оборонного и аэрокосмического секторов, и её израильское подразделение, по-видимому, стало основной целью.
Атаки на софтверную компанию, американский банк и канадскую некоммерческую организацию были нацелены на внедрение ранее не документированного бэкдора под названием Dindoor. Это вредоносное ПО использует для выполнения среду выполнения JavaScript Deno. Broadcom также выявила попытку эксфильтрации данных из софтверной компании с помощью утилиты Rclone для передачи информации в облачное хранилище Wasabi, хотя успех этой кражи данных в настоящее время неизвестен.
Отдельно, в сетях американского аэропорта и некоммерческой организации исследователи обнаружили бэкдор на Python под названием Fakeset. Этот инструмент был загружен с серверов, принадлежащих облачной компании Backblaze. Примечательно, что цифровой сертификат, использованный для подписи Fakeset, также применялся для подписи других семейств вредоносных программ, таких как Stagecomp и Darkcomp, которые ранее связывались с операциями MuddyWater. Этот общий сертификат убедительно указывает на одного и того же злоумышленника.
Результаты расследования подчёркивают растущую профессионализацию иранских киберугроз. Их кампании демонстрируют не только эволюцию инструментов и тактик, но и постоянную сосредоточенность на сборе разведданных и закреплении в сетях, особенно против объектов, связанных с геополитическими противниками.
Использование легитимных облачных сервисов и распространённых сред выполнения, таких как Deno и Python, иллюстрирует тренд на смешивание с обычным сетевым трафиком для уклонения от обнаружения. Это позволяет злоумышленникам действовать скрытно и длительно, представляя серьёзную угрозу для национальной безопасности.
