Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB

Иранские APT готовят атаки на ICS и ИИ-инфраструктуру

Иранские кибероперации, по оценкам аналитиков, вошли в методичную фазу pre-positioning: акцент сместился на расширение инфраструктуры, поиск уязвимостей и подготовительные действия, которые могут быть использованы для будущих деструктивных атак. При этом немедленных разрушительных последствий пока не зафиксировано, однако спонсируемые государством акторы, как сообщается, наращивают кибервозможности и сохраняют устойчивое присутствие в целевых средах. Разведданные указывают, что эти приготовления совпадают с ростом активности в приоритетных секторах, прежде всего в системах ICS. Дополнительное беспокойство вызывает то, что недавно опубликованные рекомендации по безопасности повышают вероятность эксплуатации обнаруженных уязвимостей. Отдельное внимание в отчете уделяется автономной системе ASN 213790, которая, по данным аналитиков, используется как площадка для различных операций, включая proxy relaying и доставку malware. Эта инфраструктура, как отмечается, связана сразу с несколькими г
Оглавление

Иранские кибероперации, по оценкам аналитиков, вошли в методичную фазу pre-positioning: акцент сместился на расширение инфраструктуры, поиск уязвимостей и подготовительные действия, которые могут быть использованы для будущих деструктивных атак. При этом немедленных разрушительных последствий пока не зафиксировано, однако спонсируемые государством акторы, как сообщается, наращивают кибервозможности и сохраняют устойчивое присутствие в целевых средах.

Разведданные указывают, что эти приготовления совпадают с ростом активности в приоритетных секторах, прежде всего в системах ICS. Дополнительное беспокойство вызывает то, что недавно опубликованные рекомендации по безопасности повышают вероятность эксплуатации обнаруженных уязвимостей.

ASN 213790: узел, через который проходит часть активности

Отдельное внимание в отчете уделяется автономной системе ASN 213790, которая, по данным аналитиков, используется как площадка для различных операций, включая proxy relaying и доставку malware. Эта инфраструктура, как отмечается, связана сразу с несколькими группами APT, в том числе APT28 и APT33.

Такое пересечение ресурсов усложняет атрибуцию и указывает на формирование общего операционного фреймворка, способного усилить масштаб и устойчивость кампаний.

Pinchy-Spider и риск двойной угрозы

Особую обеспокоенность вызывает появление группы Pinchy-Spider, известной своими возможностями в области ransomware, на иранских серверах. По оценке исследователей, это может означать наличие dual-threat сценариев для организаций: помимо шпионской или диверсионной активности возрастает риск шифрования данных и вымогательства.

В условиях, когда атакующая инфраструктура уже разворачивается и тестируется, подобное сочетание инструментов может повысить скорость перехода от разведки к боевым операциям.

Уязвимости в AI и OT-сегментации

В отчете отдельно выделены две уязвимости, которые создают угрозу для критической инфраструктуры:

  • CVE-2026-42271 — позволяет аутентифицированным пользователям выполнять произвольные команды на AI gateways, что делает такие системы потенциальной точкой компрометации;
  • CVE-2026-7473 — может привести к компрометации систем сегментации сетей OT, открывая путь к дальнейшим атакам на промышленную среду.

Авторы предупреждают, что для организаций, использующих технологии искусственного интеллекта и промышленную автоматизацию, это означает необходимость срочно укреплять механизмы защиты, в том числе против тактик credential harvesting, которые, как утверждается, применяют иранские акторы.

CISA усиливает темп предупреждений

Дополнительным индикатором роста напряженности стал всплеск консультативных сообщений CISA: за пять дней опубликовано семь уведомлений по ИБ. По мнению аналитиков, это тревожный сигнал, поскольку иранские злоумышленники исторически быстро начинают эксплуатировать уязвимости вскоре после их раскрытия.

«Темп обнаружения и публикации уязвимостей ускоряется, а окно для безопасного реагирования сокращается», — следует из логики представленного отчета.

Сектора в зоне риска и инструменты атаки

Наиболее уязвимыми названы следующие отрасли:

  • энергетика;
  • здравоохранение;
  • государственное управление.

Угрозы в этих сегментах, как отмечается, проявляются через целевое malware, включая Remcos RAT и Cobalt Strike, которые используются для закрепления в инфраструктуре, удаленного управления и дальнейшего развития атаки.

Организации в перечисленных секторах, подчеркивается в отчете, сталкиваются со значительными операционными рисками, если не примут немедленные меры реагирования.

Что рекомендуют аналитики

Среди срочных контрмер называются:

  • блокировка диапазонов IP addresses, связанных с иранской активностью;
  • устранение критических уязвимостей;
  • усиление контроля над ICS и OT-сегментами;
  • повышение защиты AI gateways и учетных записей с привилегиями;
  • постоянный мониторинг признаков использования Remcos RAT и Cobalt Strike.

Таким образом, текущая фаза иранской киберактивности выглядит как системная подготовка к более агрессивным операциям. Несмотря на отсутствие немедленного разрушительного эффекта, сочетание расширяющейся инфраструктуры, уязвимостей в критических средах и связей с несколькими APT делает ситуацию особенно опасной для организаций, работающих в чувствительных секторах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Иранские APT готовят атаки на ICS и ИИ-инфраструктуру".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.