HackerNews 编译,转载请注明出处:
网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”正长期针对伊拉克政府及库尔德地区政府(KRG)实施网络间谍活动。
ESET研究证实,该组织自2017年首次入侵库尔德政府系统以来,持续升级其攻击工具库,展现出显著的技术演进。最新攻击活动中,攻击者部署了专为隐蔽驻留设计的恶意软件套件,其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件,规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行:监控所有传入HTTP请求,仅在检测到预设Cookie结构时激活攻击功能,其余时间完全隐匿于正常服务器进程。
攻击工具链还包括两款反向隧道工具Laret与Pinar,以及多阶段渗透工具集。
该套件使攻击者具备四项核心能力:
① 长期维持高价值目标系统访问权限
② 通过加密通信躲避安全监测
③ 利用合法Webmail账户远程执行指令
④ 将恶意活动嵌入可信服务器进程实现深度隐匿
技术溯源显示,BladedFeline与伊朗国家级黑客组织OilRig存在强关联性:恶意软件功能设计与OilRig标志性后门RDAT高度相似,攻击基础设施存在重叠,战术目标均聚焦中东地缘政治情报收集。据此评估,BladedFeline极可能为OilRig组织的战术子单元。
该组织活动呈现持续进化态势:
① 时间跨度:最早攻击痕迹可追溯至2017年对库尔德外交系统的渗透
② 目标扩展:从库尔德政府延伸至伊拉克中央机构及乌兹别克斯坦电信服务商
③ 技术迭代:从基础后门发展为模块化、高隐蔽性攻击框架
④ 最新动态:2024年初仍检测到新版恶意工具活跃
ESET警告称:“从简单后门到模块化潜伏工具的技术转型,印证该组织意图长期掌控政治敏感领域访问权限。我们预判BladedFeline将持续开发新型植入程序,以维持并扩大其网络间谍行动范围。”这进一步揭示伊朗背景攻击者正通过技术升级,在区域情报收集中构建更隐蔽的作战能力。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
