与伊朗相关的 MuddyWater 组织针对美国机构部署 Dindoor 恶意软件

HackerNews 编译，转载请注明出处：

与伊朗相关联的 APT 组织 MuddyWater 以美国机构为目标，在银行、机场、非营利组织等多个行业部署了新型 Dindoor 后门程序。

博通公司旗下的赛门铁克威胁狩猎团队发现了一场由与伊朗相关的 MuddyWater（又名 SeedWorm、TEMP.Zagros、Mango Sandstorm、TA450、Static Kitten）APT 组织发起的攻击活动，该活动针对多家美国机构。

博通赛门铁克发布的报告称：“在多家美国企业的网络中发现了与伊朗 APT 组织 Seedworm 相关的活动。该活动始于 2026 年 2 月，并在最近几天仍在持续。”

该组织部署了一款名为 Dindoor 的新型后门程序，并渗透进入多个行业的网络，包括银行、机场、非营利组织，以及一家软件公司的以色列分支机构。

首次 MuddyWater 攻击活动于 2017 年末被发现，当时该 APT 组织以中东地区实体为攻击目标。

专家将该活动命名为 “MuddyWater”，原因是难以对 2017 年 2 月至 10 月期间针对沙特阿拉伯、伊拉克、以色列、阿联酋、格鲁吉亚、印度、巴基斯坦、土耳其和美国的一系列攻击进行溯源归因。多年来，该组织不断扩充攻击手段，持续进化，攻击目标也扩展至欧洲和北美国家。

该组织的受害者主要集中在电信、政府（信息技术服务）以及石油行业。

2022 年 1 月，美国网络司令部（USCYBERCOM）正式将 MuddyWater APT 组织与伊朗情报与安全部（MOIS）关联起来。

自 2026 年 2 月初以来，MuddyWater APT 组织已针对美国和加拿大的多家机构发动攻击。受害者包括一家美国银行、一座机场、多家非营利组织，以及一家在以色列开展业务、服务于国防和航空航天领域的软件供应商。这款此前不为人知的 Dindoor 后门依赖 Deno 运行时执行 JavaScript 和 TypeScript 代码，并使用了一张颁发给 “Amy Cherne” 的证书进行签名。

研究人员还观察到，攻击者曾尝试使用 Rclone 工具从一家被攻击的软件公司窃取数据，并传输至 Wasabi Technologies 云存储桶中，目前尚不清楚此次数据传输是否成功。专家还在美国机场和非营利组织的网络中发现了另一个独立的 Python 后门程序，命名为 Fakeset，该程序使用了与 Seedworm 相关联的证书进行签名。该恶意软件托管在 Backblaze 服务器上，并与其他 Seedworm 关联的恶意软件家族共享证书，这表明这些入侵事件背后是该伊朗组织所为。

报告继续指出：“伊朗在网络空间行动的特点之一是，它会定期对其视为敌对国家的机构发起破坏性攻击，目前这类国家显然包括美国和以色列。”“这对这些国家的机构构成了风险，因为此类攻击的目的是传递信号，而非窃取信息，这意味着该国境内任何被盯上的机构都可能成为攻击目标。”

近期与伊朗网络行为体相关的活动显示，其行动混合了间谍活动、破坏行动与影响力行动。支持巴勒斯坦的黑客组织 Handala 通过钓鱼、数据窃取、勒索软件和数据泄露活动攻击以色列官员和能源公司，并宣称攻破了以色列和海湾地区的多家机构。与此同时，伊朗 APT 组织 Seedworm 针对学者、非政府组织和政府机构开展鱼叉式钓鱼攻击以收集情报。另一个组织 Marshtreader 在地区紧张局势期间对以色列境内存在漏洞的摄像头进行扫描，以实施侦察。

黑客组织 DieNet 也宣称对美国关键基础设施发起了 DDoS 攻击。研究人员警告称，与伊朗结盟的行为体可能升级攻击行动，包括 DDoS 攻击、网站篡改、凭证窃取、数据泄露，以及针对关键基础设施、能源、交通、电信、医疗和国防领域的潜在破坏性行动。

消息来源：securityaffairs.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文