伊朗情报部门对美国银行、机场、软件公司网络进行了后门作

与MOIS关联的MuddyWater团队拥有了新的定制植入物

据安全研究人员称，一支被认为是伊朗情报与安全部（MOIS）一部分的伊朗网络团队自二月初以来已潜入多家美国公司的网络——包括一家银行、一家软件公司和机场——在美以军队空袭后数日内活动有所增加......

赛门铁克和Carbon Black的威胁猎杀团队告诉《纪事报》，他们发现了网络活动以及一个此前未知的后门，此前第三方分享了与MuddyWater（又名Seedworm、Static Kitten）相关的入侵迹象。

联邦调查局、美国网络安全和基础设施安全局（CISA）以及英国国家网络安全中心（NCSC）表示，MuddyWater隶属于伊朗情报与安全部（MOIS），自2018年左右起代表伊朗情报机构开展网络行动。

赛门铁克与碳黑威胁猎人团队高级情报分析师Brigid O Gorman告诉《纪事报》，其中一个指标“导致了这组攻击，并使我们发现了更多恶意软件。”

安全研究人员在周四的情报报告中表示，除了银行、机场和软件公司外，受影响的组织还包括美国和加拿大的非政府组织。此外，这家被攻破的软件公司还向国防和航空航天等行业提供技术，并在以色列设有据点。

研究人员表示，以色列行动似乎是主要目标，他们在以色列地点的网络中发现了一个名为Dindoor的新后门，同时也发现了属于美国银行和一家加拿大非营利组织的网络。

安全侦探写道：“还有一次试图将使用Rclone的软件公司的数据泄露到Wasabi云存储桶中。”“不清楚这次行动是否成功。”

Dindoor 使用 Deno，即 JavaScript 和 TypeScript 的安全运行时来执行。后门上签有一张发给“Amy Cherne”的证书。

在机场和一家美国非营利组织的网络上，发现了一个基于Python的独立后门Fakeset。它通过颁发给“Amy Cherne”和“Donald Gay”的证书签署，后者此前也被用来签署与MuddyWater相关的Stagecomp和Darkcomp恶意软件。

分析人士表示，这些证书的重复使用表明MuddyWater是美国网络活动的幕后黑手。

赛门铁克和碳黑的威胁猎人团队不知道入侵者是如何获得受害者网络的初步访问权限的。戈尔曼告诉我们，这个团队通常会利用钓鱼邮件或面向公众的应用程序漏洞作为初始感染途径。

当被问及这些入侵的意图，以及MuddyWater是否似乎在寻找国防情报和其他敏感知识产权以窃取，或为未来的网络攻击做准备时，戈尔曼表示，“很难确定。”

“伊朗的网络行动动机多样，”她补充道。“在某些情况下，还涉及情报收集。在另一些地方，则是颠覆。”

2025年5月，MuddyWater入侵了一台包含耶路撒冷现场监控视频的服务器，使摄制组能够监视城市寻找潜在目标，6月23日，伊朗轰炸了该市。同一天，以色列当局报告称，伊朗军队利用被攻破的安全摄像头收集实时情报并调整导弹瞄准。

虽然这次最新行动中的数据窃取尝试指向情报收集，“即使动机最初不是破坏，像Seedworm这样的组织也可能因战争而转向，对已经被渗透的组织发动破坏性攻击，”戈尔曼说。

她补充道：“在当前敌对行动开始前，该威胁组织已在美国和以色列网络上存在，这使该威胁组织处于发动攻击的潜在危险位置。”

周三，检查站安全研究人员表示，自2月28日战争开始以来，他们追踪到以色列及其他中东国家针对互联网监控摄像头的“数百次利用尝试”。

其他分析人士指出，过去一周间，间谍行动、数字探测和分布式拒绝服务（DDoS）攻击有所增加——但目前尚无破坏性的网络攻击。