ESET araştırmacıları, Kürt ve Irak hükümet yetkilileri ağlarına yaklaşık sekiz yıl boyunca gizli erişimi sürdüren İranlı hizalanmış ileri süren bir tehdit (APT) grubu olan Bladedfeline’ın kalıcı faaliyetlerini ortaya çıkardılar.
İlk olarak 2017 yılında Kürdistan Bölgesel Hükümeti’ne (KRG) saldırılarla tanımlanan Bladedfeline, o zamandan beri Irak’ta üst düzey yetkilileri ve hatta Uzbekistan’daki bir telekomünikasyon sağlayıcısını hedefleyen sofistike bir siber sorumluluk varlığına dönüştü.
En az 2017’den beri aktif olan grubun uzun vadeli sızması, jeopolitik olarak hassas bölgelerde devlet destekli tehditleri tespit etme ve azaltma zorluklarını vurgular.
.png
)
Siber Temsilci Kürt ve Irak yetkililerini hedefliyor
Bladedfeline’ın keşfi, ESET’in imzası Shahmaran arka kapısının Kürt diplomatik yetkililerine karşı konuşlandırılmasını tespit ettiği 2023’te geldi.
Hedefin başlangıç dizininde bulunan 64 bit taşınabilir bir yürütülebilir dosyası olan Shahmaran, ağ iletişimi için şifreleme veya sıkıştırma yoktur, ancak komut ve kontrol (C&C) sunucusundan komutları etkili bir şekilde yürütür, dosya manipülasyonunu ve veri söndürülmesini kolaylaştırır.
O zamandan beri, Bladedfeline cephaneliğini, e -posta ekleri aracılığıyla iletişim kurmak için tehlikeye atılmış Microsoft Exchange Webmail hesaplarından ve pasif bir arka kapı görevi gören kötü amaçlı bir internet bilgi hizmetleri (IIS) modülü olan Primecache gibi araçlarla genişletti.

Primecache, özellikle, İran’a hizalanmış Oilrig Apt Grubu tarafından kullanılan RDAT arka kapısı ile kod benzerliklerini paylaşıyor ve ESET’in, Bladedfeline’ın Orta Doğu hükümetlerini ve endüstrilerini hedefleyen en az 2014’ten bu yana aktif olan iyi bilinen bir siber sorumluluk varlığı olan Oilrig’in bir alt grubu olarak faaliyet gösterdiğini değerlendirmesine yol açtı.
Gelişmiş Araç Seti, Oilrig Grubu ile Bağları Ortaya Çıkarıyor
Bladedfeline’ın kampanyası, kalıcı erişimi sürdürmek için hesaplanmış bir yaklaşım gösteriyor.
2017’den 2024’e kadar uzanan saldırı zaman çizelgeleri, videoSRV gibi ters mermilerin, koyun tüneli gibi özel tünelleme araçlarının ve Lara ve Pinar adlı ters tünellerin kullanımını, genellikle kökenlerini gizlemek için zamanlamayı içerir.
Grubun hedefleri KRG yetkilileri, Irak hükümet kuruluşları ve bölgesel telekom sağlayıcıları, muhtemelen İran’ın Irak’taki Batı etkisine karşı koyma ve petrol zengini Kürdistan bölgesinin diplomatik bağlarını kullanma konusundaki ilgisinden kaynaklanan istihbarat toplama üzerine stratejik bir odaklanma öneriyor.
Whisper ve Primecache gibi araçlar, C&C iletişimi için RSA ve AES-CBC şifrelemesi ve geleneksel savunmaları atlamak için meşru e-posta hesaplarının kullanımı gibi gelişmiş teknikler sergiler, grubun teknik yeteneklerini ve uyarlanabilirliğini yaklaşık on yıllık operasyon boyunca sergiler.
Bladedfeline, tehlikeye atılan ağlar içindeki erişimi korumak ve genişletmek için kötü amaçlı yazılımlarını geliştirmeye devam ettikçe, siber güvenlik topluluğu bu tür tehditlerin izlenmesi ve etkisiz hale getirilmesinde devam eden bir zorlukla karşı karşıyadır.
Rapora göre, ESET’in araştırması, Bladedfeline gibi devletle uyumlu aktörlerin, Oilrig ile olan bağları Orta Doğu siber manzarasındaki atıf ve yanıt çabalarını daha da karmaşıklaştıran, Bladedfeline gibi devlet tarafından uyumlu aktörlerin uzun vadeli sızıntılarını tespit etmek için güçlü tehdit istihbaratının öneminin altını çiziyor.
Uzlaşma Göstergeleri (IOCS)
SHA-1 | Dosya adı | Tespit | Tanım |
---|---|---|---|
01B99ff47ec6394753f9ccdd2d43b3e804f9ee36 | Avamer.pdf.exe | Python/trojandropper.agent.gigi | Spearal için python derlenmiş damlalık |
562E1678EC8FDC1D83A3F73B511A6DDA08F3B3D | Logonul.exe | Win64/Oilrig_agen.A | Rdat Backdoor |
66bd8db40f4169c7f0fca3d5d15c978efe143cf8 | Protocol.pdf.exe | Python/trojandropper.agent.ft | Fısıltı Protokolü, Fısıltılı Damlalı |
6973d3f8852a3292380b07858d43d0b80c0616e | Veeamupdate.exe | MSIL/Agent.Err | Fısıltılı arka kapı |
BE0AD25B7B48347984908175404996531CF74B7 | VideoSrv.exe | Jenerik.bkyyerr | VideoSrv, Ters Kabuk |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun