СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ#Облака

Seedworm APT: Dindoor и Fakeset — новые иранские бэкдоры

Иранская группа APT Seedworm (также известная как MuddyWater и Temp Zagros) с февраля 2026 года проводит целенаправленные операции в сетях ряда организаций в США и за рубежом. В число пострадавших вошли банк, аэропорт, некоммерческая организация и израильское подразделение американской софтверной компании — что вызывает серьёзную обеспокоенность на фоне эскалации напряженности в регионе.

Кто стоит за атаками и когда начались инциденты

Оперативная активность приписывается APT Seedworm — группе с историей операций, направленных на получение доступа к корпоративным сетям и последующую кражу данных или разрушение. Первые задокументированные компрометации датируются февралем 2026 года.

Что именно было обнаружено

  • Новый бэкдор Dindoor: использует Deno — безопасное runtime-окружение для JavaScript — для выполнения вредоносных сценариев. Это необычное решение привлекло внимание исследователей как пример адаптации инструментов разработчиков под вредоносные цели. Dindoor был выявлен в сетях израильского подразделения программной компании, а также в сети американского банка и канадской НКО.
  • Попытка эксфильтрации через Rclone в облако Wasabi: операции по выгрузке данных в облако связывают с той же кампанией, однако на данный момент остаётся неясным, была ли эксфильтрация успешной.
  • Python‑бэкдор Fakeset: обнаружен в атаках на аэропорт США и некоммерческие организации. Fakeset был подписан сертификатами, ранее ассоциированными с Seedworm, что усиливает атрибуцию активности к этой группе.

Инструментарий и методы

Набор инструментов Seedworm показывает гибридный подход: разработка кастомного вредоносного ПО и использование двусторонних (dual‑use) утилит для постэксплуатации и эксфильтрации. Применение нестандартных runtime (как Deno) и знакомых инструментов (как Rclone) указывает на стремление уклониться от привычных сигнатур детектирования.

Геополитический контекст и потенциальные риски

Эта кампания совпадает с периодом повышенного напряжения после координированных военных операций США и Израиля против Ирана. По оценкам экспертов, вероятность дальнейших киберопераций со стороны акторов, связанных с Ираном, возрастает.

«киберакторы, связанные с Ираном, сохраняют возможность проведения киберопераций, несмотря на интернет-нарушения внутри Ирана», — заявил National Cyber Security Centre.

Исторические паттерны и похожие группы

Анализ прошлых кампаний показывает, что иранские кибероперации постепенно смещаются от преимущественно шпионских задач к более разрушительным возможностям. В арсенале появляются wiper‑семейства и DDoS‑инструменты, которые используются не только для выводов из строя, но и для политического сигнализирования.

Кроме того, другие иранские коллективы, например Handala, проводили hacktivist‑кампании против израильских организаций с использованием spearphishing, эксфильтрации данных и даже ransomware. Также зафиксированы спроби шпионажа против НПО и академических учреждений через социальную инженерию.

Рекомендации для организаций

В условиях обострения геополитической ситуации организации рекомендуется усилить готовность к увеличению киберугроз. Ключевые меры:

  • Мониторинг и аутентификация: усиленный мониторинг нехарактерных попыток входа и применение многофакторной аутентификации (MFA) для критичных сервисов.
  • Защита от DDoS: внедрение/обновление DDoS‑защиты для критической инфраструктуры и подготовка планов реагирования на масштабные сетевые перегрузки.
  • Контроль утечек и эксфильтрации: отслеживание нетипичной сетевой активности, особенно соединений с облачными провайдерами и использованием инструментов вроде Rclone.
  • Патч‑менеджмент: своевременное применение исправлений и обновлений ПО, минимизация эксплуатируемых уязвимостей.
  • Обучение персонала: повышение осведомлённости о spearphishing‑атак и социальных инженерных приёмов.
  • Контроль сертификатов и подписей: мониторинг использования подписанных бинарников и проверка источников сертификатов — в свете случаев, когда вредонос был подписан знакомыми сертификатами.

Вывод

Кампания APT Seedworm демонстрирует гибкость и адаптивность иранских киберакторов: от нестандартного применения инструментов разработчиков до использования знакомых утилит для эксфильтрации. На фоне геополитической эскалации вероятность новых операций остаётся высокой. Бдительность, своевременные технические меры и проактивный мониторинг — ключевые элементы минимизации рисков для организаций всех профилей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: