商傳媒|林昭衡/綜合外電報導
伊朗駭客組織近期針對美國關鍵基礎設施發動網路攻擊,引發資安社群高度關注。這個名為 Seedworm 的進階持續性威脅(APT)組織,又被稱為 MuddyWater、Temp Zagros 和 Static Kitten,自 2026 年 2 月初以來,已在多個美國組織的網路中展開活動。
這次攻擊活動的加劇,與 2026 年 2 月 28 日美國和以色列聯手對伊朗發動軍事打擊有關。該次行動導致伊朗最高領袖身亡,區域緊張局勢急遽升溫。伊朗除了傳統的軍事報復外,其網路部隊似乎也利用這場衝突,直接加速對美國及其盟友目標的入侵。
美國網路安全和基礎設施安全局(CISA)將 Seedworm 正式歸類為伊朗情報與安全部(MOIS)的下屬單位,該組織自 2017 年以來便相當活躍。多年來,Seedworm 的攻擊目標已從中東地區擴展至亞洲、非洲、歐洲和北美,涵蓋電信公司、國防承包商、地方政府以及油氣組織等。
Seedworm 不僅開發自己的客製化惡意軟體,還會利用合法的兩用工具,使其能夠悄無聲息地融入正常的網路環境中。
賽門鐵克(Symantec)研究人員發現,美國一家銀行、一座機場、一家與國防和航太產業有關聯的軟體公司,以及美國和加拿大的非政府組織的網路,都出現了入侵活動。其中,該軟體公司在以色列的營運部門似乎是主要目標,Seedworm 顯然是利用該公司的全球業務作為橫向擴散的橋樑。
值得注意的是,這些入侵行為早在軍事衝突正式開始前就已展開,這表明該組織已在衝突升級前,悄悄地在高價值網路中部署。
英國國家網路安全中心(NCSC)發布正式警告,指出與伊朗政府有關聯的駭客「幾乎肯定目前至少具備進行網路活動的能力」,即使伊朗境內的網路基礎設施持續受到干擾。這突顯了一個關鍵現實:Seedworm 和其他相關組織在多個國家活動,意味著伊朗境內的干擾不會阻止他們的整體行動。
據報導,與伊朗地緣政治利益一致的駭客行動主義團體 Handala,自 2026 年 1 月中旬以來,便利用星鏈(Starlink)衛星網路來維持連線,遠早於伊朗政府宣布在全國範圍內關閉網路。
除了 Seedworm 之外,其他與伊朗有關聯的組織也加強了活動。親巴勒斯坦的駭客行動主義團體 DieNet 出現於 2025 年初,此後聲稱對針對美國能源、金融、醫療保健和運輸部門的關鍵基礎設施發動的分散式阻斷服務(DDoS)攻擊負責,使用的技術包括 TCP SYN 洪水、DNS 放大和 NTP 放大。
Seedworm 最新的工具包包括兩個新發現的後門程式:Dindoor 和 Fakeset。
Dindoor 是一種先前未知的後門程式,旨在使用 Deno(一種用於 JavaScript 和 TypeScript 的安全執行階段)執行,使其具有非常規的足跡,許多安全工具可能無法立即偵測到。它被發現於屬於該軟體公司以色列分公司、美國一家銀行和加拿大一家非營利組織的網路上,並使用頒發給「Amy Cherne」的憑證簽署。
Fakeset 是一個基於 Python 的後門程式,已部署在機場和非營利組織的網路上,並使用以「Amy Cherne」和「Donald Gay」名義頒發的憑證簽署。先前曾使用「Donald Gay」憑證簽署其他與 Seedworm 相關的惡意軟體,直接將此新活動與已建立的威脅基礎設施鏈連接起來。
名為 Stagecomp 的下載器也使用「Donald Gay」憑證簽署,用於傳遞 Darkcomp 後門程式,該程式已由 Google、Microsoft 和 Kaspersky 正式連結至 Seedworm。
在入侵軟體公司期間,攻擊者還試圖使用 Rclone(一種合法的檔案傳輸工具,被重新用於將檔案移動到 Wasabi 雲端儲存貯體)來外洩資料,但該嘗試是否成功仍不清楚。
針對這些威脅,資安專家建議各組織應在所有遠端存取入口點強制執行多因素驗證,密切監控異常的對外資料傳輸,部署具有更新規則集的 Web 應用程式防火牆,限制對外部雲端儲存服務的存取,並維護離線不可變的備份,以確保在任何潛在的破壞性攻擊後能夠快速復原。
