HackerNews 编译,转载请注明出处:
伊朗相关黑客组织BladedFeline被确认为2024年初针对库尔德和伊拉克政府官员新一轮网络攻击的幕后黑手。该活动关联于ESET追踪的BladedFeline组织,中等置信度评估其为伊朗国家级网络行为体OilRig的子团队,自2017年9月针对库尔德地区政府(KRG)官员以来持续活跃。
斯洛伐克网络安全公司在技术报告中指出:“该组织开发恶意软件以维持并扩大对伊拉克及KRG内机构的访问权限。BladedFeline长期维持对库尔德外交官员的非法访问,同时利用乌兹别克斯坦地区电信提供商,并持续渗透伊拉克政府官员系统。”
ESET于2024年5月首次披露BladedFeline,其APT活动报告详述了该组织针对伊拉克库尔德地区政府机构的攻击,以及最早可追溯至2022年5月对乌兹别克斯坦电信提供商的入侵。
2023年该组织使用Shahmaran后门攻击库尔德外交官员,该基础后门通过连接远程服务器执行操作者指令,实现文件上传下载、属性查询及目录操作等功能。去年11月,攻击者使用定制后门Whisper(又名Veaty)、Spearal和Optimizer针对伊拉克政府及驻外外交机构发动定向攻击。
ESET强调:“BladedFeline大量收集伊拉克组织的外交金融情报,表明伊拉克在伊朗政府战略目标中占据重要地位。同时,阿塞拜疆政府机构也是其重点目标。”
尽管入侵KRG的初始途径未明,但攻击者疑似利用互联网应用漏洞渗透伊拉克政府网络,并通过Flog网页木马维持持久远程访问。
恶意工具技术特征显示:
- Whisper后门:基于C#/.NET,通过入侵的Exchange邮箱以邮件附件形式与攻击者通信Spearal后门:采用DNS隧道技术进行命令控制通信Optimizer:Spearal的迭代版本,工作流与功能基本一致Slippery Snakelet:2023年12月攻击中出现的Python植入程序,支持基础命令执行及文件传输
该组织还使用Laret和Pinar隧道工具维持网络访问,并部署恶意IIS模块PrimeCache。该被动后门通过监控预定义cookie结构的HTTP请求执行攻击指令并窃取文件,其功能与OilRig组织RDAT后门相似。
技术关联性方面:2017年在KRG受侵系统中发现的OilRig工具(RDAT及反向shell程序VideoSRV),结合Check Point 2024年9月关于OilRig使用Whisper/Spearal渗透伊拉克政府网络的报告,佐证了BladedFeline作为OilRig子团队的可能性(区别于另一子团队Lyceum)。
ESET另发现名为Hawking Listener的早期植入程序,通过指定端口运行cmd.exe指令。该公司总结称:“BladedFeline针对KRG和伊拉克政府实施网络间谍活动,旨在维持对高层官员的战略访问。库尔德地区丰富的石油储备及与西方外交关系,使其成为伊朗相关行为体的诱人目标;而在伊拉克的行动,可能是为反制美国入侵后西方国家的影响力。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
