СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

MuddyWater применяет Dindoor, Fakeset и Rclone в критических секторах США

Иранская группа APT MuddyWater (также известная как Seedworm), предположительно связанная с Иранским министерством разведки и безопасности, проводит целевую кампанию кибершпионажа, в ходе которой были скомпрометированы несколько организаций в США и других странах. В центре кампании — недавно выявленный бэкдор Dindoor, а также ряд других инструментов, обеспечивающих длительный доступ и эксфильтрацию данных.

Ключевые выводы

  • Новый бэкдор: обнаружен Dindoor, ранее не документированный бекдор, что усложняет его обнаружение традиционными сигнатурными средствами.
  • Среда выполнения: Dindoor использует Deno runtime для выполнения JavaScript и TypeScript вне браузера, что помогает злоумышленникам маскировать активность под легитимные процессы.
  • Дополнительные инструменты: в кампании также задействован Python-бекдор Fakeset и инструмент для передачи файлов Rclone, применявшийся для эксфильтрации данных в облако.
  • Цели: авиация, финансовые услуги, разработка ПО, включая поставщиков, связанных с оборонной и аэрокосмической отраслями.
  • Тактика: постоянный доступ (persistence), скрытая эксфильтрация и использование легитимных инструментов для обхода обнаружения.

Что известно о Dindoor и сопутствующих инструментах

«Dindoor… позволяет выполнять код на JavaScript и TypeScript вне веб-браузеров»

Использование Deno в качестве среды выполнения — ключевой момент: это даёт злоумышленникам возможность выполнять скрипты, которые слабо детектируются средствами, ориентированными на классические исполняемые файлы и процессы. Поскольку Dindoor ранее не документировался, обнаружение по сигнатурам затруднено, что повышает ценность поведенческого мониторинга.

Параллельно с Dindoor исследователи связывают кампанию с бекдором Fakeset (реализован на Python), а для вывода данных использовался Rclone — популярный open-source инструмент для синхронизации и передачи файлов в облачные сервисы. Использование легитимных утилит для эксфильтрации — распространённая тактика, усложняющая расследование инцидентов.

Целевые организации и масштабы атак

Целями кампании стали разные организации с акцентом на обработку чувствительной операционной и финансовой информации:

  • аэропорт в США;
  • банк (США);
  • канадская некоммерческая организация;
  • поставщик программного обеспечения, связанный с обороной и аэрокосмической отраслью.

Тайминг атак указывает на то, что злоумышленники получили доступ к некоторым сетям до эскалации геополитического конфликта, что позволяло им долгое время собирать разведданные и готовить целевые действия.

Техники и индикаторы компрометации

  • постоянные бекдоры в среде жертвы (Dindoor, Fakeset);
  • использование Rclone для эксфильтрации файлов в облако;
  • необычные запуски процессов Deno runtime и выполнение JS/TS вне браузера;
  • использование сертификатов и сомнительных бинарных файлов для маскировки активности;
  • длительный (латентный) доступ перед активной фазой эксфильтрации.

Рекомендации для организаций

Организациям, работающим в затронутых или смежных секторах, следует принять оперативные меры для раннего обнаружения и снижения риска:

  • Внедрить поведенческий мониторинг и корреляцию событий, уделяя внимание атипичному использованию инструментов (в частности Rclone) и нетипичным процессам Deno;
  • Усилить контроль исходящего трафика и логи облачных сервисов — следить за попытками загрузки подозрительных архивов или больших объёмов данных в сторонние хранилища;
  • Проверить и улучшить видимость использования сертификатов, сопоставляя их с известными и доверенными бинарными файлами;
  • Интегрировать индикаторы компрометации (IOCs) связанные с MuddyWater в системы SIEM/EDR и шарить полученные данные с отраслевыми партнёрами и CERT;
  • Обеспечить сегментацию сети, применение принципа наименьших привилегий и многофакторную аутентификацию для критичных сервисов;
  • Проводить регулярные обзоры и аудит установленного ПО на предмет появления нестандартных рантаймов и скриптовых исполнителей.

Контекст и значение

Характер кампании — прицельность на критически важные секторы, постоянство доступа и использование новых, малоизвестных инструментов — подчеркивает привязку операций к интересам государственно-управляемой хакерской активности. На фоне продолжающегося геополитического конфликта между Ираном и Израилем подобные операции приобретают дополнительную стратегическую значимость.

Заключение

Обнаружение Dindoor и связанной с ним кампании APT MuddyWater демонстрирует, что противники продолжают эволюционировать: они применяют новые рантаймы, комбинируют скриптовые бекдоры с легитимными утилитами для вывода данных и поддерживают длительный доступ перед активной фазой атак. Для защиты необходимы не только сигнатурные средства, но и поведенческий анализ, хорошая телеметрия сетевого и облачного трафика, а также оперативный обмен разведданными в отрасли.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: