Иранские хакеры из Seedworm атаковали организации через Microsoft Teams и скрытый backdoor DINODANCE

Событиям предшествовала эскалация в феврале 2026 года. После согласованных военных действий США и Израиля против целей в регионе Иран нанёс ответные удары с использованием ракет и беспилотников. Уже через несколько недель специалисты CyberProof, компании, предоставляющей услуги MDR (управляемого обнаружения и реагирования на инциденты), отметили резкий рост подозрительной сетевой активности, связанной с иранскими хакерами. Одна из таких атак была приписана группе Seedworm, известной также под именами APT33 и Elfin.

Взлом начинался с изощрённой социальной инженерии. Атакующий связывался с жертвой через Microsoft Teams, используя учётную запись внешнего пользователя. Злоумышленник представлялся сотрудником IT-поддержки по имени Сара Уилсон и утверждал, что компьютер другого коллеги заражён вредоносным кодом. Для убедительности использовался домен seqhelpsitdevsupportops[.]onmicrosoft.com, который визуально имитировал адрес реального корпоративного сервис-деска. В ходе переписки жертву склоняли скачать и запустить файл с именем update_ms.msi, якобы являющийся обновлением Windows.

На самом деле этот MSI-установщик содержал загрузчик под названием Dindoor. Файл был подписан сертификатом, выданным на имя Anquesia Gray, но на момент расследования сертификат уже был отозван. После запуска Dindoor разворачивал в скрытую директорию несколько компонентов, включая deno.exe, легитимную среду выполнения JavaScript и TypeScript, а также скрипты Falcon_module63.vbs и tango13.ps1. Сообщили аналитики CyberProof в своём техническом отчёте, ключевой особенностью этой атаки стало использование Deno для выполнения закодированной полезной нагрузки непосредственно в оперативной памяти. Такой подход практически не оставляет следов на диске и серьёзно затрудняет детектирование традиционными антивирусами.

Закодированный в Base64 полезная нагрузка, отслеживаемая экспертами под именем DINODANCE, после декодирования устанавливал связь с сервером управления и контроля (C2). Через этот канал злоумышленники получали базовую информацию о системе - имя пользователя, имя хоста, версию операционной системы. Анализ инфраструктуры C2 показал пересечения с инструментами, ранее описанными компанией Cisco в марте 2026 года в контексте деятельности другой иранской группы - MuddyWater. Это указывает на возможное использование общих ресурсов или координацию между разными кластерами иранских хакеров.

Методология Seedworm в этой кампании объединила три фактора, которые делают атаку особенно опасной. Первое - высокая достоверность социальной инженерии, основанная на знании корпоративных процессов и использовании доверенного канала связи. Второе - применение легитимных утилит (в данном случае Deno) в качестве оболочки для вредоносного кода. Третье - полное выполнение полезной нагрузки в памяти, что позволяет обойти файловые сканеры и системы поведенческого анализа, ориентированные на запись на диск.

С точки зрения защиты подобные инциденты сигнализируют о необходимости пересматривать границы мониторинга. Традиционные почтовые шлюзы и антифишинговые фильтры уже не охватывают весь ландшафт угроз. Современные коллаборационные платформы - Teams, Slack, Zoom - становятся новыми точками входа для атакующих. Организациям приходится учиться отслеживать подозрительные внешние контакты, анализировать домены на предмет схожести с легитимными, а также внедрять политики, ограничивающие выполнение скриптов и установок из мессенджеров.

Стоит отметить, что Seedworm - группа с многолетней историей. Её связывают с разведывательными структурами Ирана, и ранее она атаковала предприятия авиакосмической, энергетической и технологической отраслей. В данном случае жертва не раскрывается, но, судя по описанию вектора, целью могла быть международная компания с развёрнутой IT-инфраструктурой и удалёнными сотрудниками.

Заключение этой истории - не просто констатация факта очередного взлома. Она иллюстрирует новую реальность: в условиях геополитической нестабильности киберугрозы синхронизируются с военными и дипломатическими конфликтами. Атакующие действуют терпеливо, используют контекст и тщательно маскируют свои действия под рутинные ИТ-операции. Пассивная защита, основанная на ожидании сигналов тревоги, перестаёт работать. Необходим проактивный подход - охота за угрозами (threat hunting), позволяющая выявлять аномалии, которые не укладываются в существующие правила детектирования. Только так можно заметить скрытую активность до того, как злоумышленники достигнут своей цели.

IPv4

• 140.82.18.48

Domains

• serialmenot.com

URLs

• https://dd3.filedwnl.top
• https://dd4.filedwnl.top

SHA256

• 077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de
• 0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542
• 1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6
• 1d984d4b2b508b56a77c9a567fb7a50c858e672d56e8cf7677a1fca5c98c95d1
• 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14
• 2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043
• 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5
• 2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6
• 3916604ebd3eab1dec27e4ad904e3a0d50c671ee1559c35ae116975338197f2e
• 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90
• 42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f
• 4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be
• 500ee77471669175b359bf57384291cab791200191d0e5a5bb190da53ccb30ee
• 64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb
• 64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1
• 7467f326677a4a2c8576e71a832e297e794ea00e9b67c4fcbe78b5aec697cec4
• 74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d
• 7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef
• 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444
• a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377
• a92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0
• b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0
• bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a
• c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e
• ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888
• ddf75e118db8a5614483ee7e7528a3e2621901059899a8a497335bdef2fba437