Die iranische Hackergruppe MuddyWater hat sich Untersuchungen zufolge in Netzwerke mehrerer US-Unternehmen eingehackt und nutzt dabei die bislang unbekannte Backdoor Dindoor. Die Anschläge zielten auf Banken, Flughäfen und Rüstungszulieferer ab.
Sicherheitsforscher von Broadcom Symantec und dem Carbon Black Threat Hunter Team haben eine koordinierte Angriffskampagne der iranischen Hackergruppe MuddyWater aufgedeckt. Die dem iranischen Geheimdienst MOIS (Ministry of Intelligence and Security) nahestehende Gruppe hat sich seit Februar in den Netzwerken mehrerer US-amerikanischer und kanadischer Organisationen festgesetzt – darunter Banken, Flughäfen und Softwareunternehmen mit Geschäftstätigkeiten in Israel.
Die Attacken wurden begleitet von der Einschleusung einer neuen Malware namens Dindoor. Diese Backdoor nutzt die JavaScript-Runtime Deno für ihre Ausführung und stellt damit einen technologischen Fortschritt dar. Bei einem Rüstungszulieferer versuchten die Angreifer zudem, Daten über das Utility Rclone auf einen Wasabi-Cloud-Speicher abzuleiten.
Neben Dindoor entdeckten die Forscher auch eine zweite Backdoor namens Fakeset, eine in Python geschriebene Malware, die von Backblaze-Servern heruntergeladen wurde. Das digitale Zertifikat, das Fakeset signierte, wurde bereits für die Malware-Varianten Stagecomp und Darkcomp verwendet – beide sind bekanntermaßen mit MuddyWater verbunden.
“Iranische Bedrohungsakteure sind in den letzten Jahren deutlich professioneller geworden”, erklären die Sicherheitsexperten. “Ihre Technologien und Malware haben sich verbessert, doch ebenso beeindruckend sind ihre Social-Engineering-Fähigkeiten – insbesondere Spear-Phishing und Honeytrap-Operationen zur Beziehungsaufbau mit potenziellen Zielpersonen.”
Die Anschläge erfolgen vor dem Hintergrund der eskalierenden Spannungen zwischen dem Iran und dem Westen. Check Point hat parallel dokumentiert, wie pro-palästinensische Hacktivisten ihre Aktivitäten über Starlink-IP-Adressen routeten. Weitere iranische Gruppen wie Agrius scanning massiv nach schwachstellenbehafteten Überwachungskameras von Hikvision und Dahua, um diese als Aufklärungsinstrumente vor Drohnenangriffen zu nutzen.
Experten interpretieren diese Kamera-Anschläge als Early-Warning-System für bevorstehende kinetische Operationen. Das Canadian Centre for Cyber Security warnt vor Vergeltungsattacken auf kritische Infrastruktur.
Im Gegensatz zu westlichen Hackern setzen iranische Operatoren weniger auf Zero-Day-Exploits, sondern auf bewährte Angriffsmethoden: Credential-Theft, Password-Spraying und Social Engineering kombiniert mit Persistenz durch verbreitete Enterprise-Tools.
Experten raten Organisationen, ihre Cybersicherheit massiv zu verstärken: Multi-Faktor-Authentifizierung forcieren, Netzwerksegmentierung implementieren, externe Zugriffe auf Betriebstechnik-Systeme unterbinden, Offline-Backups anfertigen und alle Internet-Anwendungen sowie VPN-Gateways sofort patchen.
Quelle: The Hacker News