研究者は米国とイスラエルの爆撃キャンペーン前の数週間に、米国企業のネットワークにインストールされたバックドアを発見しました。
イランの軍事・政府資産に対する広範な爆撃キャンペーンが2月後半に開始されて以来、国家関連の脅威グループとハクティビストは米国および同盟国に対する脅威活動を加速させています。
Seedwormとして追跡されているイラン関連の高度な持続的脅威グループが、複数の米国企業のネットワークで発見されました。木曜日に公開されたブログポストによると、SymantecとCarbon Blackの研究者からの情報です。
より一般的にはMuddyWaterとして知られているこのAPTグループは、2月初旬から一連のハッキングを開始し、米国の銀行、防衛・航空宇宙業界にサービスを提供する米国ソフトウェア企業のイスラエル事業、米国およびカナダのNGO、米国の空港をターゲットにしていました(ブログポストより)。
研究者がDindoorと呼ぶ未知のバックドアがソフトウェア企業のネットワークで発見されました。このバックドアは銀行とカナダの非営利団体のネットワークでも発見されました。
このバックドアはDenoを活用しており、Denoはブログによるとその実行のためにJavaScriptおよびTypescriptのセキュアなランタイムです。
研究者によると、バックドアは2月7日のある組織で、および他の組織では2月14日から段階的にインストールされたとのことです。
「この活動は現在の紛争前に始まりましたが、現在の敵対関係が始まる前にすでに米国およびイスラエルのネットワークに存在していたため、Seedwormは攻撃を開始する可能性のある危険な立場に置かれていました。」と、SymantecとCarbon Black脅威ハンター チームのシニア情報アナリストであるBrigid O Gormanはサイバーセキュリティダイブ誌に語りました。
ハッカーはRCloneとWasabiクラウドストレージバケットを使用して、米国ソフトウェア企業からデータを流出させようとしました。研究者は盗難が成功したかどうかを直ちに確認できませんでした。
研究者は米国空港および米国非営利団体のネットワークでPythonベースのバックドアを発見しました。
Seedwormはイラン情報保安省の子会社であることが知られています。
以前に報告されたように、親イランおよび親ロシアのハクティビストは爆撃キャンペーンの開始以来、脅威活動を段階的に強化しています。
親イランのFAD Teamはペンシルベニア州ペンバリー・タウンシップから個人識別情報をハッキングしたことで信用を要求しており、Flashpoint研究者によるととのことです。
米国の金融サービス部門は、2011年から2013年の一連の調整されたDDoS攻撃であるオペレーション・アバビルと同様の攻撃の可能性に警戒しており、Flashpoint研究者はサイバーセキュリティダイブ誌に語りました。
