Назад к блогу

Иранская APT‑группа Seedworm активизировалась в сетях американских компаний

3 мин. чтения1 просмотровИИ-генерация

Иранская APT‑группа Seedworm активизировалась в сетях американских компаний

С начала февраля 2026 года разведка обнаружила, что известная иранская группа продвинутых постоянных угроз (APT) — Seedworm, также известная под названиями MuddyWater, Temp Zagros и Static Kitten — внедрилась в инфраструктуру нескольких организаций США. Активность группы усилилась после серии совместных военных действий США и Израиля, что вызвало повышенную тревогу среди специалистов по кибербезопасности.

Что известно о текущей кампании

  • Время начала: первые следы присутствия Seedworm зафиксированы в начале февраля 2026 года.
  • Территория воздействия: атакованы организации в США, в том числе предприятия, обслуживающие критически важные отрасли.
  • Контекст: рост активности группы совпал с недавними военными ударами, что может свидетельствовать о попытке использовать киберпространство в качестве дополнительного вектора давления.

Исследователи отмечают, что Seedworm традиционно использует набор типичных для APT‑групп методов: фишинговые кампании, эксплойты уязвимостей в публичных сервисах и длительные периоды «засидки» в сети, позволяющие собрать сведения о целевых системах. Хотя в открытых источниках нет подробных технических описаний текущих техник, известные ранее тактики группы позволяют предположить, что они ориентированы на скрытное присутствие и последующее извлечение данных.

Почему это важно для управления внешней атакующей поверхностью

Для организаций, контролирующих свою внешнюю атакующую поверхность (External Attack Surface Management, EASM), такие инциденты подчеркивают несколько ключевых рисков:

  • Неявные точки входа: даже небольшие публичные сервисы могут стать вектором проникновения, если они не находятся под постоянным мониторингом.
  • Продолжительные кампании: APT‑группы часто работают в сети в течение месяцев, собирая информацию и подготавливая более масштабные атаки.
  • Связь с геополитическими событиями: киберугрозы могут усиливаться в ответ на внешнеполитические действия, поэтому необходимо учитывать контекст при оценке риска.

Для команд, отвечающих за внешнюю поверхность, отсутствие видимости в реальном времени может привести к тому, что вредоносные активности останутся незамеченными до момента, когда ущерб уже будет нанесён.

Практические рекомендации для команд безопасности

  1. Усилить мониторинг публичных активов

    • Регулярно сканировать все домены, субдомены и IP‑адреса, связанные с организацией.
    • Внедрить автоматические оповещения о появлении новых сервисов или изменениях в конфигурации.

  2. Проверять аномалии в поведении

    • Настроить SIEM/EDR‑решения на выявление необычных входов, особенно из регионов, ранее не связанных с бизнес‑операциями.
    • Отслеживать длительные сессии и повторяющиеся попытки доступа к чувствительным ресурсам.

  3. Обновлять и проверять уязвимости

    • Проводить регулярные сканирования на наличие известных уязвимостей в публичных приложениях и сервисах.
    • Приоритетно устранять уязвимости, которые могут быть использованы в фишинговых или эксплойт‑кампаниях.

  4. Обучать сотрудников

    • Проводить периодические тренинги по распознаванию фишинговых сообщений, особенно с учётом тем, связанных с текущими геополитическими событиями.
    • Внедрять имитационные атаки, чтобы оценить готовность персонала к реальным попыткам компрометации.

  5. Интегрировать данные EASM с другими системами защиты

    • Связывать результаты сканирования внешней поверхности с CMDB и системами управления уязвимостями.
    • Автоматизировать процесс реагирования при обнаружении новых или изменённых публичных точек доступа.

  6. Подготовить план реагирования на инциденты, ориентированный на APT

    • Определить чёткие роли и процедуры для расследования длительных компрометаций.
    • Включить в план сценарии, связанные с возможным усилением активности после внешних политических событий.

  7. Вести постоянный анализ угроз

    • Следить за открытыми источниками (OSINT) и специализированными платформами, где публикуются индикаторы компрометации (IOCs) от групп, подобных Seedworm.
    • Обновлять списки блокировок и правила фильтрации на основе новых IOCs.

Применяя эти меры, организации смогут повысить свою видимость в внешнем пространстве, быстрее обнаруживать попытки проникновения и минимизировать потенциальный ущерб от действий продвинутых угроз, подобных Seedworm.

Поделиться:TelegramVK

Похожие статьи

Новая кампания китайского APT‑группы UAT‑9244: целенаправленные атаки на телекоммуникационные компании в Южной Америке

9 мар. 20264 мин. чтения1

Иранские хакеры заявляют об атаке с уничтожением данных на медицинскую компанию Stryker

12 мар. 20263 мин. чтения3
управление поверхностью атакиeasmвредоносное пооценка рисковуправление уязвимостями

Новая волна разрушительных атак Handala Hack с использованием RDP и множества инструментов для удаления данных

17 мар. 20263 мин. чтения2
вредоносное поуправление уязвимостямиуправление поверхностью атакиeasmоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.