Консультативная информация: Ближневосточный конфликт и киберэскалация

Обзор

28 февраля 2026 года США и Израиль начали скоординированные военные удары по Ирану (операция «Эпическая ярость» / «Рычащий лев»). Верховный лидер Ирана Хаменеи был убит 01 марта, после чего Иран ответил ударами беспилотников и ракет по всему Персидскому заливу, и киберпространство практически мгновенно развернулось.

В течение нескольких часов после первых ударов уровень проникновения интернета в Иране упал до 1-4%. Это не замедлило темпы атак: десятки хакерских группировок, действующих за пределами Ирана, а также заранее установленные бэкдоры в целевых сетях, поддерживали атаку на полной скорости.

Ключевой сдвиг на этот раз: Иран не просто полагался на собственное вредоносное ПО. Атака Stryker показала, что теперь они злоупотребляют легитимными ИТ-инструментами без вредоносного ПО. Тем временем, связанная с Китаем группа Mustang Panda незаметно использовала новостной цикл для сбора разведывательной информации, а группа хакеров (TeamPCP) развернула программу для удаления данных из Kubernetes, нацеленную на иранскую инфраструктуру. Это сложная, многосторонняя и продолжающаяся операция.

Многоуровневая кибер-оперативная модель Ирана

Иранская киберэкосистема функционирует через многоуровневую структуру, объединяющую управляемые государством APT-группы (связанные с Корпусом стражей исламской революции и Министерством разведки); полугосударственных подрядчиков и подставные организации; хактивистские группы и объединения, управляемые спецслужбами; и идеологически связанные с ними иностранные объединения, действующие параллельно. Атака на корпорацию Stryker 11 марта 2026 года ознаменовала собой значительную эскалацию: разрушительная операция по уничтожению данных против США, осуществленная без использования вредоносного ПО путем злоупотребления легитимной инфраструктурой MDM, представляет собой качественный сдвиг в оперативных возможностях Ирана и его готовности атаковать корпоративную инфраструктуру Запада.

Активные угрозы

Ирано-государственные APT-группировки

Сеянец / Мустая вода (MOIS)

Подтверждено, что вредоносная программа активна в сетях США и Израиля как минимум с начала февраля, еще до начала атак. Цели: банк, аэропорт, НПО и израильское подразделение американской компании. Были обнаружены два новых бэкдора:

• Dindoor: работает через Deno (среда выполнения JavaScript). Подписан сертификатом «Amy Cherne». Обнаружен в банке, компании-разработчике программного обеспечения и канадской неправительственной организации.
• Fakeset: на основе Python. Загружен из облачного хранилища Backblaze. Подписан сертификатами «Amy Cherne» и «Donald Gay». Сертификат Дональда Гэя ранее использовался для подписи Stagecomp и Darkcomp, оба являются подтвержденными инструментами Seedworm.

Для попытки утечки данных из скомпрометированной компании-разработчика программного обеспечения в хранилище Wasabi S3 использовался Rclone. MuddyWater также проводила параллельную кампанию (операция Olalampo) на Ближнем Востоке, в Турции и Африке с использованием пересекающейся инфраструктуры.

TA453 / APT42 / Очаровательный котенок (КСИР)

8 марта, несмотря на отключение интернета в Иране, TA453 отправила фишинговое письмо с целью кражи учетных данных в американский аналитический центр. Злоумышленник, выдавая себя за исследователя политики, налаживал контакт посредством безобидных электронных писем, а затем отправлял фишинговую страницу, оформленную в стиле OneDrive и размещенную на Netlify. Для проверки кликов на скомпрометированном сайте использовались пиксели отслеживания. Полное отключение интернета внутри страны не остановило их, зарубежная инфраструктура позволила им продолжать работу.

TA402 / Нефтяная платформа / APT34 (MOIS)

Атака была совершена на правительство Ближнего Востока с использованием взломанной электронной почты Министерства иностранных дел Ирака. В качестве приманки использовались ссылки на «потенциальную наземную операцию США в Иране» и «военный альянс стран Персидского залива». В зависимости от геолокации IP-адреса цели, вредоносная программа представляла собой либо поддельный PDF-файл, либо страницу для сбора учетных данных. Та же взломанная инфраструктура Министерства иностранных дел Ирака использовалась и кластером Dust Specter.

Marshtreader / Agrius / Pink Sandstorm (MOIS)

Расширенное сканирование камер после ударов по Израилю, ОАЭ, Катару, Бахрейну, Кувейту, Ливану и Кипру. Использование уязвимостей CVE-2017-7921 и CVE-2023-6895 на камерах Hikvision и видеодомофонах. Эта схема компрометирует внешние камеры вблизи зон конфликта и используется для получения визуальной информации о последствиях ударов в режиме реального времени. Любая организация, имеющая камеры с доступом в интернет в этих регионах, должна рассматривать это как активную угрозу.

Атака корпорации Stryker, осуществленная Хандалой.

Самая масштабная атака, приписываемая Ирану, против западной компании в этом конфликте. 11 марта Handala (также отслеживаемая как Void Manticore, Storm-0842) уничтожила Stryker Corporation, компанию по производству медицинского оборудования с оборотом в 25 миллиардов долларов и контрактом на поставку в США на сумму 450 миллионов долларов.

Как это работало

Злоумышленник получил доступ к взломанной учетной записи глобального администратора Microsoft 365 (вероятно, из старого файла журнала, полученного от злоумышленника и проданного на криминальной площадке). По мнению исследователей, с помощью этой учетной записи он вошел в Microsoft Intune и использовал легитимную функцию «сброса устройства до заводских настроек», чтобы удаленно стереть данные с более чем 200 000 ноутбуков, серверов и мобильных устройств в 79 странах. Экраны входа были заменены логотипом Handala.

• Больше всего пострадал ирландский офис компании Stryker в Корке (4,000–5,500 сотрудников), где были выведены из строя производственные системы.
• Обработка заказов, производство и международная доставка нарушены (подтверждено в документах, поданных в Комиссию по ценным бумагам и биржам США).
• Акции SYK упали после публикации информации.
• Предположительно, заранее было похищено 50 ТБ данных (полностью не подтверждено).
• CISA направила техническую помощь; Ирландский национальный центр кибербезопасности отреагировал.

Примерно 20 марта Министерство юстиции официально связало Хандалу с иранским Министерством разведки и безопасности (МОИС), назвав её «вымышленным активистским псевдонимом», используемым для хакерских атак, утечек информации и психологических операций. Директор ФБР Каш Патель объявил об изъятии четырёх веб-сайтов Хандалы, включая сайт с утечками информации. Компания Check Point Research связала руководство Хандалы с контртеррористическим подразделением МОИС, тем самым подразделением, глава которого, как сообщается, был убит в результате ударов в марте 2026 года.

13 марта Хандала также угрожал провести операцию по удалению 40 ТБ данных, приуроченную ко Дню Кудса. Пока что личность жертвы не установлена. Отдельно они заявили о взломе системы Verifone; Verifone отрицает какие-либо атаки.

Пылевой призрак (связь с Ираном, целенаправленные действия правительства Ирака)

Исследователи обнаружили ранее неизвестную APT-группировку, связанную с Ираном и нацеленную на иракских правительственных чиновников начиная с января 2026 года. Группа взломала легитимный веб-сайт иракского правительства для размещения вредоносных программ и использовала поддельную встречу Cisco Webex for Government в качестве приманки для социальной инженерии ClickFix. Обнаружены четыре новых вредоносных инструмента .NET:

• SPLITDROP: программа-дроппер, которая извлекает следующий этап из защищенного паролем RAR-архива и загружает его через легитимные бинарные файлы, такие как VLC или WingetUI.
• TWINTASK: рабочий процесс, выполняющий сценарии PowerShell путем опроса файлов in.txt/out.txt. Сохранение состояния осуществляется с помощью ключа запуска HKCU.
• TWINTALK: модуль управления и контроля (C2), использующий HTTPS со случайными URI, геозонирование (проверка местоположения жертвы) и подмену User-Agent, имитирующую Chrome.
• GHOSTFORM: RAT-программа поздней стадии разработки, объединяющая TWINTASK и TWINTALK в одном исполняемом файле с использованием PowerShell в оперативной памяти. Использует мьютекс для однократного запуска и генерирует идентификатор бота на основе метки времени создания сборки.

Необычные фрагменты кода в TWINTALK и GHOSTFORM, такие как эмодзи, странности Unicode, шестнадцатеричные константы-заполнители (0xABCDEF), указывают на использование генеративного ИИ в некоторых частях разработки. Это первый подтвержденный случай масштабного использования вредоносного ПО с помощью ИИ в иранских инструментах APT-группировок.

Китайский APT – Mustang Panda (LOTUSLITE)

4 марта исследователи зафиксировали, как мустанг-панда (также отслеживаемый как Земляной Прета, TA416, Бронзовый Президент) переключился на приманки, связанные с конфликтом на Ближнем Востоке, спустя несколько дней после ударов 28 февраля. Это типичное поведение мустанг-панд, поскольку они адаптируют приманки к тому, что появляется в новостях.

Вредоносный ZIP-архив содержал легитимный музыкальный исполняемый файл KuGou, переименованный в «Iran Strikes US Military Facilities Across Gulf Region.exe», а также вредоносную DLL-библиотеку (libmemobook.dll). При запуске исполняемого файла он загружает DLL-библиотеку, которая:

• Загружает файлы WebFeatures.exe и kugou.dll с скомпрометированного домена (e-kflower[.]com).
• Задает параметр "Постоянное сохранение" с помощью клавиши "Выполнить" (ACboardCm / ASEdge)
• dll — это бэкдор LOTUSLITE, который взаимодействует с C2 172.81.60[.]97 через WinHTTP.

Уже в январе 2026 года было задокументировано использование LOTUSLITE приманок на венесуэльскую тематику с точно таким же IP-адресом C2. Тот же бэкдор, та же цепочка доставки, но другой новостной повод. Атрибуция: с умеренной степенью уверенности — Mustang Panda, основываясь на использовании бинарных файлов KuGou (задокументированная практика с 2022 года), общем C2 и встроенных сообщениях кода, отрицающих российское происхождение (ранее наблюдалось в кампаниях ClaimLoader от Mustang Panda).

В рамках отдельной кампании LNK/CHM, направленной против стран Персидского залива, был распространен поддельный PDF-файл с информацией о «ракетных ударах Ирана по американской базе в Бахрейне», а также загрузчик шеллкода, использующий ключ RC4 «20260301@@@» для расшифровки следующего этапа.

Группы хактивистов – видимый слой

Активность хактивистов шумная, но в основном оказывает незначительное техническое воздействие. Преобладают DDoS-атаки, взломы и заявления о взломах и утечках информации. Многие заявления преувеличены. Однако некоторые группы обладают реальными возможностями и заслуживают внимания:

В группе	Подтвержденные/заявленные операции	Ссылки
Хандала / Пустая Мантикора	Стеклоочиститель Stryker (подтверждено). Израильская система здравоохранения. Заявлено о добыче нефти/газа на сумму 1.3 млрд долларов. Раскрытие личных данных критиков из диаспоры с угрозами смерти по электронной почте.	МЕСЯЦ
Команда FAD / Фатимиюн	Вредоносная программа-вайпер, заявления о доступе к SCADA/PLC (Израиль + союзники). Атака со стороны турецких СМИ.	Соседние с Корпусом стражей исламской революции
Киберисламское сопротивление (команда 313, RipperSec)	Заявлена ​​система защиты от дронов. Израильская платежная инфраструктура. DDoS-атака со стороны правительства Кувейта.	Проиранский
ДиНет	Аэропорт Бахрейна, аэропорт Шарджи, банк Эр-Рияда, Банк Иордании — все они подверглись DDoS-атакам.	Проиранский
Без имени057(16)	Израильские муниципальные, телекоммуникационные и оборонные DDoS-атаки. Координация действий с иранскими группировками.	Пророссийский
Кардинальный	Заявленный доступ к сети ЦАХАЛ; утечка документа, касающегося операции «Северный щит».	Пророссийский
Русский легион	Заявленный доступ к радару "Железный купол" (неподтвержденная информация). Заявленный доступ к серверу ЦАХАЛ.	Пророссийский
Z-Pentest	В период с 28 февраля по 2 марта были заявлены о взломе американских систем ICS/SCADA и видеонаблюдения.	Пророссийский

 

Исследователи отследили подробную хронологию активности хактивистов в Telegram, начиная с 28 февраля. В день атак был создан «Командный центр электронных операций» (EOC), координационный канал, который служил центральным узлом для обмена информацией о целях и координации заявлений между более чем 53 группами.

Вредоносное ПО MOIS Telegram C2

ФБР опубликовало срочный информационный бюллетень (IC3, 20 марта), предупреждающий о том, что киберпреступники из MOIS с осени 2023 года используют ботов Telegram в качестве инфраструктуры управления и контроля, нацеленных на иранских диссидентов, журналистов и оппозиционные группы по всему миру. Вредоносное ПО имеет двухэтапную структуру:

• На первом этапе программа маскируется под обычные приложения: Telegram_authenticator.exe, KeePass.exe, WhatssApp.exe, Pictory_premium_ver9.0.4.exe. Второй этап отключается при запуске.
• Второй этап — постоянный имплант, подключающийся к api.telegram[.]org для двустороннего управления и контроля. Сопутствующие модули записывают экран и звук во время сеансов Zoom (MicDriver.zip).

ФБР также подтвердило, что в ходе хакерской атаки и утечки данных, проведенной Хандалой в июле 2025 года против диссидентов, использовалось то же самое вредоносное ПО для сбора утекших данных. Этот бюллетень официально связывает деятельность Хандалы, направленную против диссидентов, с более широкой инфраструктурой управления и контроля MOIS в Telegram.

Операция «Верблюжий клон»

Seqrite Группа APT-лабораторий выявила многорегиональную шпионскую кампанию с использованием идентичных методов заражения в четырех странах: Алжире (приманка Министерства жилищного строительства), Монголии (приманка MonAtom LLC / ядерная энергетика), Украине (приманка алжирско-украинского сотрудничества) и Кувейте (приманка, связанная с требованиями ВВС Кувейта к вооружению).

Каждая кампания следует одной и той же цепочке: ZIP → LNK с помощью PowerShell → загружает HOPPINGANT (загрузчик JavaScript f.js) с filebulldogs[.]com → устанавливает Rclone v1.70.3 (переименованный в l.exe) → XOR-декодирует учетные данные MEGA (ключ: 56) → извлекает файлы Desktop .doc/.docx/.pdf/.txt и данные сессии Telegram Desktop (папка tdata) на учетные записи MEGA, зарегистрированные через onionmail.org. Выявлено четыре отдельные учетные записи MEGA, все созданы в феврале-марте 2026 года.

Источник информации: неизвестен. Схема таргетинга (правительство, оборона, дипломатия, энергетика в очагах соперничества крупных держав) предполагает сбор разведывательной информации на государственном уровне.

TeamPCP – CanisterWorm / Kubernetes Wiper

Злоумышленники, преследующие финансовые цели в сфере облачных вычислений (TeamPCP, также известные как DeadCatx3, PCPcat, ShellForce), добавили в свой набор инструментов инструмент для удаления уязвимостей, нацеленный на геополитическую сферу. 19 марта они впервые осуществили атаку на цепочку поставок против Trivy (популярного сканера уязвимостей от Aqua Security), внедрив бэкдоры в релизы GitHub и образы Docker для кражи SSH-ключей, учетных данных облачных сервисов, токенов Kubernetes и криптовалютных кошельков у всех, кто использует Trivy в конвейерах CI/CD.

22 марта они запустили новую полезную нагрузку через тот же контейнер ICP C2 (tdtqy-oyaaa-aaaae-af2dq-cai[.]raw[.]icp0[.]io). Эта полезная нагрузка проверяет часовой пояс и локаль системы. Если они совпадают с Iran (Asia/Tehran, fa_IR):

• В Kubernetes: развертывается DaemonSet с именем 'host-provisioner-iran' на всех узлах. Каждый под запускает контейнер Alpine с именем 'kamikaze', который удаляет все каталоги верхнего уровня хоста и принудительно перезагружает узел.
• На иранских хостах без Kubernetes выполняется команда rm -rf / –no-preserve-root
• На хостах Kubernetes, отличных от иранских: устанавливается бэкдор CanisterWorm в качестве службы systemd (pgmonitor) для постоянной кражи учетных данных.

Неясно, были ли фактически уничтожены какие-либо иранские системы, вредоносный контейнер был активен лишь короткое время и быстро менял свое состояние. Исследователи отмечают, что группа, похоже, отчасти стремится привлечь к себе внимание. Но вектор цепочки поставок (Trivy работает в миллионах сред разработки) и разрушительная, геополитически целенаправленная полезная нагрузка являются реальными и заслуживающими внимания. TeamPCP также захватила частную организацию GitHub компании Aqua Security 22 марта, переименовав все 44 внутренних репозитория в «tpcp-docs-*» с описанием «TeamPCP владеет Aqua Security».

Расширение масштабов наблюдения Корпуса стражей исламской революции

Издание Iran Wire сообщило, что Корпус стражей исламской революции (КСИР) выступил с прямым предупреждением иранским гражданам: активность в Instagram и Telegram активно отслеживается. После ударов иранские спецслужбы значительно расширили операции по наблюдению внутри страны, сопоставляя активность в социальных сетях с известными профилями диссидентов. Это напрямую связано с кампанией ФБР FLASH по управлению и контролю в Telegram, и та же инфраструктура, которая используется для атак на диссидентов за рубежом, расширяется внутри страны.

Использование группировкой «Хандала» сервиса Starlink во время отключения интернета в Иране подтверждает, что связанные с Ираном террористы заранее спланировали действия по подавлению внутренней связи. Полное отключение интернета больше не нейтрализует этих террористов.

Воздействие сектора

Сектор	Уровень риска	Наблюдаемое/ожидаемое нацеливание
Энергетика — Нефть и газ	КРИТИЧЕСКОЕ	Компания Handala заявила о выводе 1.3 ТБ средств от операторов Персидского залива. Заявлены о доступе к системам SCADA/PLC. Нарушения навигации затронули более 1,100 судов вблизи Ормузского пролива. Беспилотники КСИР нанесли удары по автоматизированной станции мониторинга в Бахрейне. Ранее компания Predatory Sparrow вывела 90 миллионов долларов с иранской криптовалютной биржи.
Правительство и оборона	КРИТИЧЕСКОЕ	Все иранские APT-группы. Dust Specter нацелен на Министерство иностранных дел Ирака. DDoS-атаки на правительственные сайты Кувейта/Иордании/Бахрейна. UNG0801 нацелен на ИТ-инфраструктуру израильского правительства. CamelClone нацелен на оборонные/дипломатические органы Алжира, Монголии, Кувейта и Украины.
Финансовые услуги	ВЫСОКАЯ	DDoS-атаки на израильские банки. Банк Эр-Рияда. Банк Иордании. Фишинг в ОАЭ. Запятнанная репутация Scorpius как израильской цели. Поддельные порталы SSA и фишинг Kvish 6 для оплаты дорожных сборов (связанные с Ираном).
Здравоохранение	ВЫСОКАЯ	Компания Stryker Corporation взломала систему очистки данных (более 200 000 устройств по всему миру — поставщик Министерства обороны). Компания Handala взломала израильскую сеть здравоохранения (Clalit). Была развернута система реагирования на инциденты уровня CISA.
Оборонная промышленность и цепочка поставок	ВЫСОКАЯ	Корпорация Stryker (контракт Министерства обороны США на 450 млн долларов). Американский поставщик (Seedworm Dindoor). Компромиссы в цепочке поставок все чаще используются для одновременного достижения нескольких важных целей.
Авиация и транспорт	ВЫСОКАЯ	DDoS-атака на аэропорт Бахрейна. DDoS-атака на аэропорт Шарджи/ОАЭ. Американский аэропорт в списке жертв Seedworm. Подмена GPS-сигнала судоходства в Ормузском проливе затронула более 1,100 судов.
Телекоммуникации	ВЫСОКАЯ	Исторически приоритетный сектор КСИР/МОИС. Нарушение работы инфраструктуры и целенаправленное воздействие на интернет-провайдеров с целью выявления диссидентов. Непрерывные шпионские кампании.
Критическая инфраструктура (OT/ICS)	ВЫСОКАЯ	Заявления о доступе к SCADA/PLC от Cyber ​​Islamic Resistance и FAD Team. Сканирование с камер Marshtreader. Z-Pentest заявила о взломе американских систем ICS/SCADA и CCTV (28 февраля – 2 марта).
ИТ / MSP / Программное обеспечение	СРЕДНИЙ–ВЫСОКИЙ	UNG0801 / Операция IconCat нацелена на израильские ИТ-компании, поставщиков управляемых услуг, HR-специалистов и разработчиков программного обеспечения. Seedworm скомпрометировал израильского поставщика программного обеспечения для оборонного сектора. Это точка входа в цепочку поставок для пострадавших.
НПО и аналитические центры	СРЕДНИЙ–ВЫСОКИЙ	TA453/APT42 нацелен на американский аналитический центр (фишинг учетных данных). Канадская НПО включена в список жертв Seedworm. UNG0801 нацелен на израильские корпоративные среды.
Операции в сфере СМИ и влияния	СРЕДНИЙ	Команда FAD атаковала турецкие СМИ. Фейковые новостные блоги распространяли StealC. Проводились хактивистские психологические операции через Telegram и X.

 

Что посмотреть

• Участились атаки на Intune/MDM-системы предприятий с большими парками устройств, управляемых Microsoft. Любая организация, где скомпрометированная учетная запись глобального администратора может инициировать массовое удаление данных с устройств, подвергается той же опасности, что и Stryker.
• Хандала пригрозила второй волной эпидемии, приурочив её ко Дню Кудса. Следите за их каналами в Telegram и лентой X, чтобы не пропустить объявления о надвигающейся угрозе.
• Вероятно, будет активирован заблаговременно подготовленный доступ к сети Seedworm. Группа уже проникла в сети США и Израиля до начала войны, эти плацдармы существуют не просто так.
• Увеличение числа атак на цепочки поставок. Взлом Trivy, осуществленный TeamPCP, и использование уязвимости «тематического перехода» со стороны Mustang Panda показывают, что злоумышленники с легкостью используют инструментарий разработчиков и новостной цикл одновременно в качестве векторов атаки.
• Риск использования функции очистки остается высоким. Druidfly, FAD Team и Handala обладают работающей функцией очистки. BibiWiper, Hatef и метод очистки MDM от Stryker представляют собой три отдельных подхода к доставке.
• Расширение C2-сервера Telegram от MOIS. В экстренном сообщении ФБР освещаются атаки, начиная с 2023 года. Ожидается, что то же самое вредоносное ПО (Pictory, KeePass, похожие на WhatsApp) будет повторно нацелено на диаспору, исследователей и журналистов за пределами Ирана.
• Всё большее число случаев сбора информации, ориентированных на Китай и использующих конфликтные темы, не ограничивается только компанией Mustang Panda. Любое крупное геополитическое событие в течение 48–72 часов превращается в фишинговую приманку.

Что должна делать ваша команда

Прямо сейчас

• Проверьте свои учетные записи глобального администратора Microsoft 365 и администратора Intune. ВСЕ ли из них настроена многофакторная аутентификация, устойчивая к фишингу (FIDO2 или на основе сертификатов)? Если нет, сначала устраните эту проблему.
• Настройте оповещение для любого действия Intune, которое приводит к удалению данных или сбросу до заводских настроек более чем на N устройствах. Этот порог должен быть очень малым для действий, инициированных человеком.
• Если вы используете Trivy в CI/CD, проверьте, какая версия у вас зафиксирована. Версии 0.69.4–0.69.6 скомпрометированы. Зафиксируйте версию на проверенной безопасной версии по SHA коммита, а не по тегу.
• Извлеките хеши файлов C2 Telegram MOIS из раздела 3.2 и пропустите их через ваш EDR. Эти файлы активны с 2023 года.
• Проверьте, не запущены ли Rclone, AnyDesk, ScreenConnect и PDQConnect в местах, где вы их не устанавливали. CamelClone, Seedworm и Handala используют нелегальные инструменты.

На этой неделе

• Проведите проверку аутентификации. Обратите внимание на входы в систему из необычных стран, доступ в нерабочее время и любые новые учетные записи администраторов, созданные за последние 60 дней.
• Проверьте исходящий трафик на наличие неожиданных подключений к MEGA, Backblaze, Wasabi и Telegram API (api.telegram[.]org) от серверных процессов, а не от браузерного трафика.
• Проверьте восстановление резервных копий. В частности: сможете ли вы восстановить критически важный сервер из резервной копии, изолированной от сети, если ваша основная среда будет полностью очищена? Если проверка ответа занимает более часа, значит, проблема в этом.
• Если у вас развернуты системы Kubernetes: проверьте ваши DaemonSet в kube-system. Найдите контейнеры 'host-provisioner-*' или 'provisioner'. Проверьте наличие контейнеров Alpine с hostPath: / mounts.
• Проведите инструктаж для своей команды по фишингу на основе конфликтной тематики. Наиболее часто используемые темы для привлечения внимания: иранские ракетные удары, обновления СВПД, военный альянс в Персидском заливе, оповещения гражданской обороны, закупки ВВС Кувейта, предложения о сотрудничестве.

Постоянный

• Отслеживайте Telegram и X-серверы на предмет списков целей и заявлений о взломе, связанных с вашей организацией или отраслью. Хактивистские группы публикуют информацию о своих следующих целях перед атакой.
• Подпишитесь на информационную ленту CISA по Ирану и оповещения UK NCSC по этому конфликту.
• Проверьте права доступа к вашему конвейеру CI/CD. Сервисные учетные записи с персональными токенами доступа (PAT) и без многофакторной аутентификации (MFA) — это именно те учетные записи, которые TeamPCP использовала для управления организацией Aqua Security в GitHub.
• Поговорите со своим страховщиком от киберугроз о пунктах, исключающих риски, связанные с войной. Атака с использованием бронемашины Stryker подтвердила причастность государства (Министерство юстиции США). Страховые полисы могут не покрывать ущерб, причиненный по указанию государства.

Референсы

1. https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
2. https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/
3. https://www.ic3.gov/CSA/2026/260320.pdf
4. https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us
5. https://www.rapid7.com/blog/post/tr-iran-cyber-playbook-escalating-regional-conflict/
6. https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks
7. https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
8. https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/
9. https://www.seqrite.com/blog/operation-camelclone-multi-region-espionage-campaign-targets-government-and-defense-entities-amidst-regional-tensions/
10. https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/
11. https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/
12. https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/
13. https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran
14. https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
15. https://www.reuters.com/technology/iran-linked-hackers-restore-website-after-us-seizes-domains-2026-03-20/
16. https://iranwire.com/en/news/150668-irgc-warns-citizens-your-instagram-and-telegram-activity-is-being-watched/
17. https://socradar.io/blog/telegram-activity-timeline-iran-israel-us-war/
18. https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity
19. https://www.intel471.com/blog/israeli-us-strikes-against-iran-triggers-a-surge-in-hacktivist-activity
20. https://techcrunch.com/2026/03/20/u-s-accuses-irans-government-of-operating-hacktivist-group-that-hacked-stryker/
21. https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict
22. https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
23. https://www.cloudsek.com/blog/middle-east-escalation-israel-iran-us-cyber-war-2026
24. https://www.ncsc.gov.uk/news/ncsc-advises-uk-organisations-take-action-following-conflict-in-middle-east
25. https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran

Авторы:

Шаяк Тарафдар
Дипак Томас Филип
Сатвик Рам Пракки
Картикумар Дживани