İran apt ‘Bladedfeline’ 8 yıldır ağlarda gizli kalıyor


ESET araştırmacıları, Kürt ve Irak hükümet yetkilileri ağlarına yaklaşık sekiz yıl boyunca gizli erişimi sürdüren İranlı hizalanmış ileri süren bir tehdit (APT) grubu olan Bladedfeline’ın kalıcı faaliyetlerini ortaya çıkardılar.

İlk olarak 2017 yılında Kürdistan Bölgesel Hükümeti’ne (KRG) saldırılarla tanımlanan Bladedfeline, o zamandan beri Irak’ta üst düzey yetkilileri ve hatta Uzbekistan’daki bir telekomünikasyon sağlayıcısını hedefleyen sofistike bir siber sorumluluk varlığına dönüştü.

En az 2017’den beri aktif olan grubun uzun vadeli sızması, jeopolitik olarak hassas bölgelerde devlet destekli tehditleri tespit etme ve azaltma zorluklarını vurgular.

– Reklamcılık –
Google Haberleri

Siber Temsilci Kürt ve Irak yetkililerini hedefliyor

Bladedfeline’ın keşfi, ESET’in imzası Shahmaran arka kapısının Kürt diplomatik yetkililerine karşı konuşlandırılmasını tespit ettiği 2023’te geldi.

Hedefin başlangıç ​​dizininde bulunan 64 bit taşınabilir bir yürütülebilir dosyası olan Shahmaran, ağ iletişimi için şifreleme veya sıkıştırma yoktur, ancak komut ve kontrol (C&C) sunucusundan komutları etkili bir şekilde yürütür, dosya manipülasyonunu ve veri söndürülmesini kolaylaştırır.

O zamandan beri, Bladedfeline cephaneliğini, e -posta ekleri aracılığıyla iletişim kurmak için tehlikeye atılmış Microsoft Exchange Webmail hesaplarından ve pasif bir arka kapı görevi gören kötü amaçlı bir internet bilgi hizmetleri (IIS) modülü olan Primecache gibi araçlarla genişletti.

Bladedfeline
Fısılın temel operasyonel akışı

Primecache, özellikle, İran’a hizalanmış Oilrig Apt Grubu tarafından kullanılan RDAT arka kapısı ile kod benzerliklerini paylaşıyor ve ESET’in, Bladedfeline’ın Orta Doğu hükümetlerini ve endüstrilerini hedefleyen en az 2014’ten bu yana aktif olan iyi bilinen bir siber sorumluluk varlığı olan Oilrig’in bir alt grubu olarak faaliyet gösterdiğini değerlendirmesine yol açtı.

Gelişmiş Araç Seti, Oilrig Grubu ile Bağları Ortaya Çıkarıyor

Bladedfeline’ın kampanyası, kalıcı erişimi sürdürmek için hesaplanmış bir yaklaşım gösteriyor.

2017’den 2024’e kadar uzanan saldırı zaman çizelgeleri, videoSRV gibi ters mermilerin, koyun tüneli gibi özel tünelleme araçlarının ve Lara ve Pinar adlı ters tünellerin kullanımını, genellikle kökenlerini gizlemek için zamanlamayı içerir.

Grubun hedefleri KRG yetkilileri, Irak hükümet kuruluşları ve bölgesel telekom sağlayıcıları, muhtemelen İran’ın Irak’taki Batı etkisine karşı koyma ve petrol zengini Kürdistan bölgesinin diplomatik bağlarını kullanma konusundaki ilgisinden kaynaklanan istihbarat toplama üzerine stratejik bir odaklanma öneriyor.

Whisper ve Primecache gibi araçlar, C&C iletişimi için RSA ve AES-CBC şifrelemesi ve geleneksel savunmaları atlamak için meşru e-posta hesaplarının kullanımı gibi gelişmiş teknikler sergiler, grubun teknik yeteneklerini ve uyarlanabilirliğini yaklaşık on yıllık operasyon boyunca sergiler.

Bladedfeline, tehlikeye atılan ağlar içindeki erişimi korumak ve genişletmek için kötü amaçlı yazılımlarını geliştirmeye devam ettikçe, siber güvenlik topluluğu bu tür tehditlerin izlenmesi ve etkisiz hale getirilmesinde devam eden bir zorlukla karşı karşıyadır.

Rapora göre, ESET’in araştırması, Bladedfeline gibi devletle uyumlu aktörlerin, Oilrig ile olan bağları Orta Doğu siber manzarasındaki atıf ve yanıt çabalarını daha da karmaşıklaştıran, Bladedfeline gibi devlet tarafından uyumlu aktörlerin uzun vadeli sızıntılarını tespit etmek için güçlü tehdit istihbaratının öneminin altını çiziyor.

Uzlaşma Göstergeleri (IOCS)

SHA-1Dosya adıTespitTanım
01B99ff47ec6394753f9ccdd2d43b3e804f9ee36Avamer.pdf.exePython/trojandropper.agent.gigiSpearal için python derlenmiş damlalık
562E1678EC8FDC1D83A3F73B511A6DDA08F3B3DLogonul.exeWin64/Oilrig_agen.ARdat Backdoor
66bd8db40f4169c7f0fca3d5d15c978efe143cf8Protocol.pdf.exePython/trojandropper.agent.ftFısıltı Protokolü, Fısıltılı Damlalı
6973d3f8852a3292380b07858d43d0b80c0616eVeeamupdate.exeMSIL/Agent.ErrFısıltılı arka kapı
BE0AD25B7B48347984908175404996531CF74B7VideoSrv.exeJenerik.bkyyerrVideoSrv, Ters Kabuk

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link