Иранские хакерские группы активизируются на фоне эскалации конфликта: Seedworm атакует сети американских компаний

Активность группировки Seedworm, также известной как MuddyWater, представляет собой многоэтапную операцию с использованием новых вредоносных инструментов. На сетях израильского офиса софтверной компании был обнаружен ранее неизвестный бэкдор, получивший название Dindoor. Этот инструмент использует среду выполнения Deno для JavaScript и TypeScript, что позволяет ему обходить ряд традиционных средств защиты. Примечательно, что бэкдор был подписан цифровым сертификатом, выданным на имя «Amy Cherne». Аналогичный образец был найден в сетях американского банка и канадской некоммерческой организации. Кроме того, злоумышленники пытались выгрузить данные с помощью утилиты Rclone в облачное хранилище Wasabi, хотя успех этой операции не подтверждён.

На сетях американского аэропорта и некоммерческой организации был обнаружен другой бэкдор на Python под названием Fakeset. Он был подписан сертификатами «Amy Cherne» и «Donald Gay». Последний сертификат уже использовался ранее для подписи вредоносного ПО, связанного с Seedworm, что является ключевым атрибутирующим признаком. Бэкдор загружался с серверов облачного провайдера Backblaze. Использование одного и того же инфраструктурного элемента и техник выполнения (TTP) для атак на разные организации в США и Канаде убедительно указывает на скоординированную кампанию одной группы. Наличие предварительно полученного доступа к сетям до начала активных боевых действий ставит Seedworm в крайне опасную позицию, позволяя группе по своему усмотрению выбирать момент для эскалации - от шпионажа до прямого саботажа.

Seedworm - давно известная иранская APT-группа, действующая с 2017 года. По данным Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), она является подразделением Министерства разведки и безопасности Ирана (MOIS). Изначально фокусируясь на Ближнем Востоке, группа расширила географию атак, целясь в телекоммуникации, оборону, местные правительства и нефтегазовые компании по всему миру. Группа известна разработкой собственного вредоносного ПО, а также активным использованием легитимных административных инструментов и техник Living off the Land (LotL), что значительно затрудняет обнаружение.

Контекст текущей эскалации делает подобную активность особенно тревожной. После координированных ударов США и Израиля по Ирану в конце февраля 2025 года, приведших к гибели верховного лидера страны, Тегеран начал ответные действия, включая ракетные обстрелы и, что ожидаемо, кибератаки. Национальный центр кибербезопасции Великобритании (NCSC) предупредил, что иранские государственные и связанные с ними киберакторы почти наверняка сохраняют потенциал для проведения операций. История показывает, что в периоды напряжённости Иран часто переходит от шпионажа к демонстративным деструктивным атакам, нацеленным на отправку политического сигнала. Это означает, что под угрозой может оказаться не только государственный сектор, но и любой бизнес в странах-мишенях.

Параллельно с Seedworm активность демонстрируют иранские хактивистские группы. Например, Handala, действующая в поддержку Палестины, в декабре 2025 года заявила о компрометации мобильных устройств высокопоставленных израильских чиновников, а в феврале-марте 2026-го - о взломах в израильской системе здравоохранения и нефтяных компаниях региона. Хотя некоторые заявления могут быть преувеличены, они являются частью кампании психологического давления. Другие группы, такие как Marshtreader, были замечены в сканировании уязвимых камер наблюдения в Израиле, возможно, для оценки ущерба от бомбардировок или разведки целей. Всё это рисует картину комплексной кибервойны, где классический шпионаж переплетается с информационными операциями и подготовкой к физическому воздействию.

Исходя из исторических паттернов поведения иранских APT-групп, защитникам в ближайшее время следует ожидать комбинации высокошумных и скрытных операций. К первым можно отнести распределённые атаки типа «отказ в обслуживании» (DDoS), дефейсы сайтов и утечки данных с целью привлечения внимания СМИ и создания паники. Целями, вероятно, станут порталы госорганов, транспортные узлы, логистические компании, банки и медиа. Одновременно более продвинутые государственные группы будут продолжать тихие операции по закреплению в критической инфраструктуре - энергетике, транспорте, оборонно-промышленном комплексе - собирая учётные данные, эксплуатируя уязвимости и создавая плацдармы для потенциально деструктивных действий в будущем.

Для эффективного противодействия организациям необходимо сфокусироваться на нескольких ключевых направлениях. Во-первых, усилить мониторинг публично доступных сервисов на предмет признаков сканирования, подбора паролей и попыток эксплуатации веб-уязвимостей. Развёртывание межсетевых экранов веб-приложений (WAF) и использование сервисов защиты от DDoS становятся обязательными мерами. Во-вторых, критически важно жёстко контролировать доступ, повсеместно внедряя многофакторную аутентификацию, отключая устаревшие протоколы и отслеживая аномалии в журналах входа. В-третьих, необходимо настроить системы для обнаружения аномальной передачи данных, которые могут свидетельствовать о подготовке к утечке, и ограничить использование неавторизованных облачных хранилищ. Наконец, для критически важных объектов и предприятий с высокой вероятностью стать мишенью деструктивных атак жизненно важно обеспечить целостность и изолированность резервных копий, а также регулярно отрабатывать процедуры восстановления.

Текущая активность Seedworm служит тревожным напоминанием, что в современном геополитическом конфликте киберпространство является полем боя первого эшелона. Атаки, начинающиеся как тихий шпионаж, при изменении политической конъюнктуры могут мгновенно перерасти в операции по уничтожению данных или нарушению работы критических служб. Проактивное выявление признаков закрепления в сети, укрепление базовой гигиены безопасности и готовность к оперативному реагированию - вот те меры, которые позволят организациям не стать разменной монетой в цифровой конфронтации государств.

Domains

• elvenforest.s3.us-east-005.backblazeb2.com
• gitempire.s3.us-east-005.backblazeb2.com
• moonzonet.com
• serialmenot.com
• uppdatefile.com

SHA256

• 077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de
• 0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542
• 1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6
• 15061036c702ad92b56b35e42cf5dc334597e7311e98d2fdd3815a69ac3b1d84
• 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14
• 2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043
• 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5
• 2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6
• 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90
• 42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f
• 4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be
• 64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb
• 64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1
• 74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d
• 7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef
• 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444
• a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377
• a5d4d6be3bfe0cba23fe6b44984b5fc9c7c7e10030be96120bb30da0f2545d4c
• A92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0
• b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0
• bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a
• c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e
• ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888