İran’a hizalanmış bir hack grubu, 2024’ün başlarında Kürt ve Irak hükümet yetkililerini hedefleyen yeni bir siber saldırıya atfedildi.
Etkinlik, bir tehdit grubu ESET izlerine bağlıdır. Bladedfelineİran ulus-devlet siber aktörü Oilrig içinde bir alt küme olmak için orta güvenle değerlendirilen. Kürdistan Bölge Hükümeti (KRG) ile ilişkili yetkilileri hedeflediği Eylül 2017’den bu yana aktif olduğu söyleniyor.
Slovak Siber Güvenlik Şirketi, Hacker News ile paylaşılan teknik bir raporda, “Bu grup Irak ve KRG’deki kuruluşlar içindeki erişimi korumak ve genişletmek için kötü amaçlı yazılım geliştiriyor.” Dedi.
“Bladedfeline, Kürt diplomatik yetkililere yasadışı erişimi sürdürmek için sürekli çalıştı ve aynı zamanda Özbekistan’daki bölgesel bir telekomünikasyon sağlayıcısını kullanıyor ve Irak Hükümeti’ndeki yetkililere erişimi geliştiriyor ve sürdürüyor.”
Bladedfeline ilk olarak ESET tarafından Mayıs 2024’te APT faaliyet raporu Q4 2023 – Q1 2024’ün bir parçası olarak belgelendi ve rakiplerin Irak’ın Kürdistan bölgesinden bir hükümet örgütüne saldırısını detaylandırdı.
Grup, 2023 yılında, uzak bir sunucuda kontrol eden ve dosya yüklemek veya indirmek için enfekte ana bilgisayarda operatör tarafından sağlanan herhangi bir komutu yürüten ve bir dosya ve dizin manipülasyon API’si sağlamak için operatör tarafından sağlanan komutları yürüten basit bir arka kapı olan Shahmaran ile Kürt diplomatik yetkililere yönelik saldırıların ardından keşfedildi.
Daha sonra geçen Kasım ayında, siber güvenlik firması, İran’ın komşularına, özellikle Irak’taki bölgesel ve hükümet kuruluşlarına ve Irak’tan çeşitli ülkelere diplomatik elçilere karşı saldırı düzenleyen saldırıları gözlemlediğini söyledi.
ESET, Kasım 2024’te, “Bladedfeline, Irak örgütlerinden diplomatik ve finansal bilgi toplamaya büyük yatırım yaptı, Irak’ın İran hükümetinin stratejik hedeflerinde büyük rol oynadığını gösteriyor.
KRG kurbanlarına girmek için kullanılan tam başlangıç erişim vektörü belirsiz olmakla birlikte, tehdit aktörlerinin Irak’a bakan bir uygulamada Irak hükümet ağlarına girmek ve kalıcı uzaktan erişimi sürdürmek için flog web kabuğunu dağıtmak için muhtemelen bir güvenlik açığından yararlandığından şüpheleniliyor.
 |
| Fısıltı arka kapısının iç çalışmaları |
Backdoors yelpazesi, Bladedfeline’ın kötü amaçlı yazılım cephaneliğini geliştirme taahhüdünü vurgulamaktadır. Whisper, bir Microsoft Exchange sunucusunda tehlikeye atılmış bir webmail hesabına oturum açan ve e -posta ekleri aracılığıyla saldırganlarla iletişim kurmak için kullanan bir C#/. Net arka kapıdır. Spearal, komut ve kontrol iletişimi için DNS tünelini kullanan bir .net arka kapısıdır.
Aralık 2023’te gözlemlenen seçkin saldırılar, “cmd.exe” aracılığıyla komutları yürütmek için sınırlı özelliklerle birlikte gelen kaygan yılelik olarak adlandırılan bir Python implantının dağıtılmasını da içeriyordu.
Backdoors’a rağmen, Bladedfeline, hedef ağlara erişimi sağlamak için Lara ve Pinar’ın çeşitli tünelleme araçlarının kullanımı için dikkat çekicidir. Ayrıca, ESET’in Oilrig Apt.
Pasif bir arka kapı olan Primecache, saldırgan ve eksfiltrate dosyaları tarafından verilen komutları işlemek için önceden tanımlanmış bir çerez başlık yapısı ile eşleşen gelen HTTP isteklerine dikkat ederek çalışır.
Bu husus, Oilrig’in ikisinin-RDAT ve ters kabuk kodlu videoları-sırasıyla Eylül 2017 ve Ocak 2018’de uzlaşmış bir KRG sisteminde keşfedilmesi ile birlikte, Bladedfeline’ın Oilrig içinde bir alt grup olabileceği, ancak aynı zamanda lyceum’dan farklı bir alt grup olabileceği olasılığına yol açtı.
Oilrig bağlantısı, Irak Hacking Group’taki parmakları Irak hükümet ağlarının ağlarına sızmak ve olası sosyal mühendislik çabalarını kullanarak fısıltı ve mızrakla enfekte etmek için işaret eden Check Point’ten bir Rapor ile güçlendirildi.
ESET, Mart 2024’te Flog’u yükleyen aynı parti tarafından Virustotal platformuna yüklenen Hawking Dinleyici adlı kötü niyetli bir eser belirlediğini söyledi. Hawking dinleyici, “cmd.exe” aracılığıyla komutları çalıştırmak için belirli bir bağlantı noktasını dinleyen bir erken aşama implantıdır.
Şirket, “Bladedfeline, her iki devlet kuruluşunda yüksek rütbeli yetkililere stratejik erişimi sürdürmeye yönelik bir göz alarak KRG ve SOI’yi siber casusluk amacıyla hedefliyor.”
Diyerek şöyle devam etti: “KRG’nin Kürdistan bölgesindeki petrol rezervleriyle birleştiğinde, KRG’nin Batı ulusları ile diplomatik ilişkisi, İran’a hizalanmış tehdit aktörlerinin casusluk ve potansiyel olarak manipüle edilmesi için cazip bir hedef haline getiriyor. Bu tehdit aktörleri büyük olasılıkla ABD’nin istilası ve işgalini takiben Batı hükümetlerinin etkisine karşı koymaya çalışıyor.”