СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 июня
#ИБ#ИИ#Инфра

Иранские APT готовят атаки на ICS и ИИ-инфраструктуру

Иранские кибероперации, по оценкам аналитиков, вошли в методичную фазу pre-positioning: акцент сместился на расширение инфраструктуры, поиск уязвимостей и подготовительные действия, которые могут быть использованы для будущих деструктивных атак. При этом немедленных разрушительных последствий пока не зафиксировано, однако спонсируемые государством акторы, как сообщается, наращивают кибервозможности и сохраняют устойчивое присутствие в целевых средах.

Разведданные указывают, что эти приготовления совпадают с ростом активности в приоритетных секторах, прежде всего в системах ICS. Дополнительное беспокойство вызывает то, что недавно опубликованные рекомендации по безопасности повышают вероятность эксплуатации обнаруженных уязвимостей.

ASN 213790: узел, через который проходит часть активности

Отдельное внимание в отчете уделяется автономной системе ASN 213790, которая, по данным аналитиков, используется как площадка для различных операций, включая proxy relaying и доставку malware. Эта инфраструктура, как отмечается, связана сразу с несколькими группами APT, в том числе APT28 и APT33.

Такое пересечение ресурсов усложняет атрибуцию и указывает на формирование общего операционного фреймворка, способного усилить масштаб и устойчивость кампаний.

Pinchy-Spider и риск двойной угрозы

Особую обеспокоенность вызывает появление группы Pinchy-Spider, известной своими возможностями в области ransomware, на иранских серверах. По оценке исследователей, это может означать наличие dual-threat сценариев для организаций: помимо шпионской или диверсионной активности возрастает риск шифрования данных и вымогательства.

В условиях, когда атакующая инфраструктура уже разворачивается и тестируется, подобное сочетание инструментов может повысить скорость перехода от разведки к боевым операциям.

Уязвимости в AI и OT-сегментации

В отчете отдельно выделены две уязвимости, которые создают угрозу для критической инфраструктуры:

  • CVE-2026-42271 — позволяет аутентифицированным пользователям выполнять произвольные команды на AI gateways, что делает такие системы потенциальной точкой компрометации;
  • CVE-2026-7473 — может привести к компрометации систем сегментации сетей OT, открывая путь к дальнейшим атакам на промышленную среду.

Авторы предупреждают, что для организаций, использующих технологии искусственного интеллекта и промышленную автоматизацию, это означает необходимость срочно укреплять механизмы защиты, в том числе против тактик credential harvesting, которые, как утверждается, применяют иранские акторы.

CISA усиливает темп предупреждений

Дополнительным индикатором роста напряженности стал всплеск консультативных сообщений CISA: за пять дней опубликовано семь уведомлений по ИБ. По мнению аналитиков, это тревожный сигнал, поскольку иранские злоумышленники исторически быстро начинают эксплуатировать уязвимости вскоре после их раскрытия.

«Темп обнаружения и публикации уязвимостей ускоряется, а окно для безопасного реагирования сокращается», — следует из логики представленного отчета.

Сектора в зоне риска и инструменты атаки

Наиболее уязвимыми названы следующие отрасли:

  • энергетика;
  • здравоохранение;
  • государственное управление.

Угрозы в этих сегментах, как отмечается, проявляются через целевое malware, включая Remcos RAT и Cobalt Strike, которые используются для закрепления в инфраструктуре, удаленного управления и дальнейшего развития атаки.

Организации в перечисленных секторах, подчеркивается в отчете, сталкиваются со значительными операционными рисками, если не примут немедленные меры реагирования.

Что рекомендуют аналитики

Среди срочных контрмер называются:

  • блокировка диапазонов IP addresses, связанных с иранской активностью;
  • устранение критических уязвимостей;
  • усиление контроля над ICS и OT-сегментами;
  • повышение защиты AI gateways и учетных записей с привилегиями;
  • постоянный мониторинг признаков использования Remcos RAT и Cobalt Strike.

Таким образом, текущая фаза иранской киберактивности выглядит как системная подготовка к более агрессивным операциям. Несмотря на отсутствие немедленного разрушительного эффекта, сочетание расширяющейся инфраструктуры, уязвимостей в критических средах и связей с несколькими APT делает ситуацию особенно опасной для организаций, работающих в чувствительных секторах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: