文章总结： 伊朗APT组织Seedworm在2026年3月通过MicrosoftTeams发起社交工程攻击，冒充IT支持人员诱导用户执行恶意MSI文件，部署Dindoor后门并滥用Deno运行时执行内存载荷。攻击基础设施与MuddyWater重叠，凸显地缘政治紧张加剧网络威胁。建议企业将安全监控扩展到协作平台并加强主动威胁狩猎。 综合评分： 85 文章分类： 威胁情报,恶意软件,应急响应,安全运营,红队

伊朗APT Seedworm通过微软Teams攻击全球组织

原创

CyberProof CyberProof

暗镜

2026年4月27日 06:01 北京

在小说阅读器读本章

去阅读

2026年2月下旬，中东地缘政治紧张局势升级，最终导致美国和以色列采取协调一致的军事行动，随后伊朗进行了导弹和无人机报复性攻击。在接下来的几周里，CyberProof威胁情报团队观察到与伊朗相关的网络活动相应增加，并在2026年3月初出现了多起攻击活动。

其中一次攻击活动被归咎于伊朗高级持续性威胁 (APT) 组织，该组织通常被称为 Seedworm。这篇博客详细介绍了 CyberProof 的 MDR 和高级威胁狩猎团队调查的一次入侵事件，重点阐述了 Seedworm 如何持续依赖有针对性的社会工程攻击以及定制的恶意软件工具来获取和维持对企业环境的访问权限。

攻击概述

此次入侵始于精心设计的社交工程攻击。攻击者通过 Microsoft Teams 以外部用户的身份联系受害者。该外部攻击者冒充 IT 支持人员 Sarah Wilson（sarahwilson@seqhelpsitdevsupportops[.]onmicrosoft.com），声称另一名员工的系统遭到入侵，并请求协助。攻击者使用了一个经过精心设计的、与合法 IT 服务台极其相似的 Microsoft 365 租户域名，从而增强了交互的可信度，降低了用户的怀疑。

通过这种交互，用户被诱骗执行了一个名为 update_ms.msi的恶意安装程序，该程序伪装成 Windows 更新包。这个 MSI 文件是名为 Dindoor 的自定义后门的初始投放器。

使用 Dindoor 定制后门

update_ms.msi安装程序 （SHA-256：500ee77471669175b359bf57384291cab791200191d0e5a5bb190da53ccb30ee）是用颁发给Anquesia Gray 的证书签名的 ，该证书在调查时已被吊销。

执行完毕后，Dindoor 将多个组件部署到一个隐藏目录中，其中包括：

• deno.exe

• Falcon_module63.vbs

• tango13.ps1

在执行时间线中观察到了这些痕迹：

此次入侵的一个显著特点是滥用了 Deno，Deno 是一个合法的 JavaScript 和 TypeScript 运行时环境，通常用于后端应用程序开发。攻击者利用 deno.exe 直接在内存中执行高度混淆的 Base64 编码有效载荷（追踪代码为 DINODANCE），从而最大限度地减少了磁盘上的痕迹，并增加了检测难度。

解码后，有效载荷与远程基础设施建立了命令与控制 (C2) 通信，窃取了基本的主机元数据，例如用户名、主机名和操作系统详细信息。分析显示，该 C2 基础设施与  思科在 2026 年 3 月公开披露的  MuddyWater基础设施存在重叠。

此次事件凸显了Seedworm在结合高可信度社交工程、双用途工具和内存执行技术方面的持续有效性。利用Microsoft Teams等协作平台作为初始攻击途径，凸显了企业组织日益迫切需要将安全意识和监控范围扩展到传统电子邮件威胁之外。

从威胁猎手的角度来看，地缘政治紧张局势——尤其是在中东等地区——会直接转化为适应性强、情报驱动的网络活动激增，这与现实世界的冲突如出一辙。在这种环境下，被动的安全策略根本行不通。攻击面不再是静态的，而是在云工作负载、身份层、第三方依赖项和非托管资产之间不断变化。与此同时，攻击者也变得更加谨慎——他们利用耐心、精准性和对上下文的深刻理解来绕过传统的防御措施。

这正是专业威胁狩猎的价值所在。它并非被动地等待警报，而是主动发现那些传统控制措施无法触及的盲点。尽管托管检测与响应 (MDR) 平台能够有效覆盖已知的检测模式，但它们通常受限于预定义的规则和遥测阈值。威胁狩猎者更进一步，深入探究上下文——将身份层、端点层和网络层中的微弱信号关联起来，从而发现那些从未触发警报的风险。通过分析一段时间内的行为、验证假设并质疑所谓的“正常”行为，威胁狩猎者能够弥补 MDR 平台无法总是发现的漏洞，在攻击者采取的隐蔽行动升级为全面入侵之前将其暴露出来。

#

相关IOC

• hxxps://dd3.filedwnl[.]top

• hxxps://dd4.filedwnl[.]top

• tango13.ps1

• serialmenot[.]com

• Falcon_module63.vbs

 500ee77471669175b359bf57384291cab791200191d0e5a5bb190da53ccb30ee

• Deno.land

• 140.82.18.48

• 3916604ebd3eab1dec27e4ad904e3a0d50c671ee1559c35ae116975338197f2e

• ddf75e118db8a5614483ee7e7528a3e2621901059899a8a497335bdef2fba437

• b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0

• 42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f

• 077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de

• 0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542

1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6

• 1d984d4b2b508b56a77c9a567fb7a50c858e672d56e8cf7677a1fca5c98c95d1

• 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14

• 2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043

• 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5

• 2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6

• 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90

• 42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f

• 4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be

64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb

• 64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1

7467f326677a4a2c8576e71a832e297e794ea00e9b67c4fcbe78b5aec697cec4

• 74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d

• 7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef

• 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444

•a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377

• a92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0

• b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0

•bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a

• c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e

• ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 CyberProof CyberProof《伊朗APT Seedworm通过微软Teams攻击全球组织》