伊朗MuddyWater黑客组织使用新型Dindoor后门攻击美国网络

2026年3月6日，Broadcom的Symantec和Carbon Black威胁猎人团队发布研究报告，发现伊朗国家支持的黑客组织MuddyWater已渗透进多家美国公司的网络，包括银行、机场、非营利组织和一家软件公司的以色列分部。

攻击背景

MuddyWater（又名Seedworm）隶属于伊朗情报与国家安全部(MOIS)。此次攻击活动据评估始于2026年2月初，在美以两国对伊朗实施军事打击后检测到近期活动。

Symantec报告指出："该软件公司是国防和航空航天工业的供应商，在以色列设有业务，此次活动中以色列业务似乎成为攻击目标。"

新型恶意软件

研究人员发现了MuddyWater使用的新型后门程序Dindoor，该恶意软件具有以下特点：

• 使用DNS隧道进行命令控制通信
• 支持多种持久化机制
• 能够执行任意命令和收集系统信息
• 使用自定义加密算法保护通信

攻击目标

已确认受到攻击的组织包括：

• 美国银行机构
• 机场运营商
• 加拿大非营利组织
• 以色列国防和航空航天供应商

地缘政治背景

此次网络攻击活动与当前中东紧张局势密切相关。美国和以色列近期对伊朗核设施和军事目标实施了联合军事行动，伊朗通过网络攻击进行报复。

安全专家警告，关键基础设施运营商应提高警惕，加强网络安全防护，特别是：

• 实施网络分段
• 加强身份验证机制
• 监控异常网络流量
• 更新威胁情报源

防御建议

Symantec建议组织采取以下措施防范MuddyWater攻击：

1. 监控DNS查询中的异常模式
2. 实施端点检测和响应(EDR)
3. 定期进行威胁狩猎活动
4. 加强供应链安全管理

来源：Symantec、The Hacker News