Een Iran-uitgelijnde hackgroep is toegeschreven aan een nieuwe reeks cyberaanvallen gericht op Koerdische en Iraakse regeringsfunctionarissen begin 2024.
De activiteit is gebonden aan een ESET -tracks van een bedreigingsgroep als Bladedfelinedie wordt beoordeeld met medium vertrouwen om een subcluster te zijn in Oilrig, een bekende Cyber-acteur van de Iraanse natiestaat. Er wordt gezegd dat het actief is sinds september 2017, toen het gericht was op ambtenaren die verband hielden met de regionale regering van Koerdistan (KRG).
“Deze groep ontwikkelt malware voor het onderhouden en uitbreiden van de toegang binnen organisaties in Irak en de KRG,” zei het Slowaakse cybersecuritybedrijf in een technisch rapport gedeeld met The Hacker News.
“BladeedFeline heeft consequent gewerkt om illegale toegang tot Koerdische diplomatieke ambtenaren te behouden, terwijl ze tegelijkertijd een regionale telecommunicatieaanbieder in Oezbekistan benutten, en de toegang tot ambtenaren in de regering van Irak te ontwikkelen en te handhaven.”
BladedFeline werd voor het eerst gedocumenteerd door ESET in mei 2024 als onderdeel van haar APT -activiteitenrapport Q4 2023 – Q1 2024, met details over de aanval van de tegenstander op een overheidsorganisatie uit de regio Koerdistan in Irak en de targeting van de Oezbekistan Telecom -provider die mogelijk is gecomprimeerd in mei 2022.
De groep werd ontdekt in 2023 na aanvallen gericht op Koerdische diplomatieke functionarissen met Shahmaran, een eenvoudige achterdeur die een externe server incheckt en alle operator-beoordeelde opdrachten op de geïnfecteerde host uitvoert om bestanden te uploaden of te downloaden, specifieke bestandsattributen aan te vragen en een bestand en map manipulatie-API te bieden.
Vervolgens afgelopen november zei het cybersecuritybedrijf dat het de hackingploeg zag die aanvallen op de buren van Iran orkestreerde, met name regionale en overheidsentiteiten in Irak en diplomatieke gezanten van Irak naar verschillende landen, met behulp van op maat gemaakte achterdeuren zoals Whisper (aka Veaty), Spearal en Optimizer.
“BladedFeline heeft zwaar geïnvesteerd in het verzamelen van diplomatieke en financiële informatie van Iraakse organisaties, wat aangeeft dat Irak een grote rol speelt in de strategische doelstellingen van de Iraanse regering,” merkte ESET op in november 2024. “Bovendien zijn overheidsorganisaties in Azerbeidzjan een andere focus van Bladedfeline.”
Hoewel de exacte initiële toegangsvector die wordt gebruikt om in KRG-slachtoffers te komen, onduidelijk is, wordt vermoed dat de dreigingsactoren waarschijnlijk een kwetsbaarheid in een op internet gerichte applicatie hebben gebruikt om in te breken in Iraakse overheidsnetwerken en de flog-webshell te implementeren om aanhoudende externe toegang te behouden.
Het brede scala aan backdoors benadrukt de toewijding van BladedFeline om zijn malware -arsenaal te verfijnen. Whisper is een C#/. Net Backdoor die zich aanmeldt bij een gecompromitteerd WebMail -account op een Microsoft Exchange -server en deze gebruikt om met de aanvallers te communiceren via e -mailbijlagen. Spearal is een .NET-achterdeur die gebruik maakt van DNS-tunneling voor command-and-control communicatie.
“Optimizer is een iteratieve update over de Spearal Backdoor. Het gebruikt dezelfde workflow en biedt dezelfde functies. De belangrijkste verschillen tussen Spearal en Optimizer zijn grotendeels cosmetisch,” vertelde het ESET -onderzoeksteam The Hacker News.
SELECT -aanvallen waargenomen in december 2023 hebben ook betrekking op de implementatie van een Python -implantaat dat gladde snakelet wordt genoemd die wordt geleverd met beperkte mogelijkheden om opdrachten uit te voeren via “CMD.EXE”, Download bestanden van een externe URL en uploadbestanden.
Niettegenstaande de achterdeur is BladedFeline opmerkelijk voor het gebruik van verschillende tunnelgereedschapslaret en Pinar om toegang te behouden tot doelwetwerken. Ook in gebruik is een kwaadwillende IIS -module genaamd Primecache, die zei dat ESET overeenkomt met de overeenkomsten met de RDAT -achterdeur die door Oilrig Apt wordt gebruikt.
Primecache is een passieve achterdeur en werkt door in de gaten te houden voor inkomende HTTP -aanvragen die overeenkomen met een vooraf gedefinieerde cookie -headerstructuur om commando’s te verwerken die zijn uitgegeven door de aanvaller en exfiltraatbestanden.
Het is dit aspect, in combinatie met het feit dat twee van de tools van Oilrig-RDAT en een omgekeerde shell codenamed videoOSRV-werden ontdekt op een gecompromitteerd KRG-systeem in september 2017 en januari 2018, respectievelijk hebben geleid tot de mogelijkheid dat BladedFeline een subgroep binnen Oilrig kan zijn, maar ook verschillend van lyceum-een moniker toegewezen aan een andere sub-cluster.
De Oilrig -verbinding wordt ook versterkt door een rapport van september 2024 van Check Point, dat de vingers van de Iraanse hackinggroep wijzen voor het infiltreren van de netwerken van Iraakse overheidsnetwerken en het infecteren van fluistering en speermiddelen met behulp van waarschijnlijke sociale engineering -inspanningen.
ESET zei dat het een kwaadaardig artefact identificeerde met de naam Hawking Listener die in maart 2024 door dezelfde partij naar het Virustotal -platform werd geüpload dat de flog heeft geüpload. Hawking Listener is een implantaat in een vroeg stadium dat luistert op een opgegeven poort om opdrachten uit te voeren via “CMD.EXE.”
“BladedFeline richt zich op de KRG en de GOI voor cyberspionagedoeleinden, met het oog op het handhaven van strategische toegang tot hooggeplaatste ambtenaren in beide overheidsinstanties,” concludeerde het bedrijf.
“De diplomatieke relatie van de KRG met westerse landen, in combinatie met de oliereserves in de regio Koerdistan, maakt het een verleidelijk doelwit voor Iran-uitgelijnde dreigingsactoren om te bespioneren en mogelijk te manipuleren. In Irak proberen deze dreigingsactoren hoogstwaarschijnlijk de invloed van westerse regeringen tegen te gaan na de Amerikaanse invasie en bezetting van het land.”
