Irán aktív jelenléte
Az iráni hátterű Seedworm (MuddyWater) APT-csoport hónapok óta aktívan jelen van amerikai és izraeli kötődésű szervezetek hálózataiban, köztük banki, repülőtéri, védelmi beszállítói és nonprofit környezetekben. A kutatók szerint a műveletek még a közel-keleti katonai eszkaláció előtt kezdődtek, ami arra utal, hogy az iráni szereplők előzetes hozzáféréseket építettek ki potenciális későbbi műveletekhez.
A kampány során két új malware-t azonosítottak, a Dindoor nevű backdoort, amely a Deno JavaScript/TypeScript futtatókörnyezetet használja a rejtettebb működéshez, valamint a Python-alapú Fakeset backdoor-t. A támadók Rclone segítségével próbáltak adatokat exfiltrálni felhőalapú tárhelyekre, miközben legitim szolgáltatásokat és digitális aláírásokat használtak a detekció megnehezítésére.
A Seedworm továbbra is elsősorban kiberkémkedési célokat követ, ugyanakkor a már meglévő hozzáférések miatt komoly kockázatot jelenthet kritikus infrastruktúrákra nézve. A kutatók arra figyelmeztetnek, hogy az iráni csoportok hagyományosan nem kifinomult nulladik napi exploitokra építenek, hanem hitelesítőadat-lopásra, távoli hozzáférések kompromittálására, living-off-the-land technikákra és hosszú távú perzisztenciára.
A geopolitikai konfliktusokkal párhuzamosan a kibertérben is fokozódik az előretolt pozíciók kiépítése. A támadások célja nem feltétlenül azonnali rombolás, hanem stratégiai hozzáférések megszerzése olyan rendszerekhez, amelyek később hírszerzési, befolyásolási vagy akár destruktív műveletek alapjául szolgálhatnak.
