BladedFeline: Иранская APT-группа и её эволюция кибершпионажа
Источник: www.welivesecurity.com
Кампания кибершпионажа BladedFeline: новые подробности от ESET
Исследователи компании ESET раскрыли масштабную кампанию кибершпионажа, приписываемую группе BladedFeline — иранской APT-группе, действующей с 2017 года. Основанная на доскональном анализе вредоносных инструментов, используемых злоумышленниками, эта кампания фокусируется на атаках по отношению к курдским и иракским правительственным чиновникам.
Характеристика деятельности BladedFeline
Группа BladedFeline на протяжении нескольких лет разрабатывает и использует разнообразные вредоносные программы, чтобы обеспечить устойчивый доступ к системам жертв и расширить контроль над ними. Среди выявленных инструментов — обратные туннели, бэкдоры и специальные модули, позволяющие скрытно управлять заражёнными машинами.
- Laret и Pinar — вредоносные обратные туннели;
- Whisper — бэкдор, способный проникать в учетные записи веб-почты на Microsoft Exchange и обмениваться информацией через вложения электронной почты;
- PrimeCache — вредоносный модуль для IIS, функционирующий на основе нового метода выполнения команд.
Особенности бэкдора Whisper
Whisper выделяется своим механизмом коммуникации с операторами: он не шифрует сами сообщения, но использует файл конфигурации с зашифрованными учетными данными. Это позволяет регулярно проверять «команды», передаваемые посредством электронной почты, что обеспечивает _скрытый и устойчивый контроль_ над взломанными системами.
Модуль PrimeCache: новые методы управления
PrimeCache применяет инновационный способ выполнения команд оператора: команды и параметры отправляются несколькими запросами, при этом параметры сохраняются в глобальной структуре до момента запуска выполнения. Анализ кода выявил сходство с ранее известным RDAT-бэкдором OilRig, указывая на возможное родство между BladedFeline и OilRig. Общими являются и используемые библиотеки, такие как Crypto++, а также схожие методологии обработки команд.
Развитие вредоносного арсенала
Кроме указанных инструментов, эксперты зафиксировали использование облегченного «Hawking Listener» — сетевого двоичного файла, предназначенного для прослушивания команд с URL-адресов. Вредоносное ПО содержит временные метки и сведения о компиляции, что указывает на продвинутые методы обфускации, характерные для хакеров Ближнего Востока.
Также стоит отметить веб-приложение Flog, загруженное с аккаунта, связанного с Whisper. Этот факт демонстрирует постоянные попытки группы эксплуатировать уязвимости веб-приложений для внедрения вредоносного кода.
Исторический контекст и геополитический аспект
С 2017 года BladedFeline активно закрепляется в правительственных структурах Курдистана (КРГ), используя различные типы бэкдоров, включая Shahmaran. Этот бэкдор взаимодействует через жестко запрограммированные порты и рассчитан на работу в обычной системной среде, что делает его особенно удобным инструментом для постоянного присутствия в инфраструктуре жертвы.
Цели атаки имеют очевидный стратегический характер: Курдистан поддерживает тесные отношения с западными странами и обладает значительными нефтяными ресурсами, что делает регион ценной мишенью для иранских хакеров. Их деятельность направлена на расширение геополитического влияния посредством кибершпионажа и подрыва стабильности.
Выводы
Постоянное развитие и внедрение сложного арсенала вредоносных инструментов и бэкдоров подтверждает высокую компетентность и системность действий BladedFeline. Их связь с OilRig указывает на глубокие организационные связи в рамках иранских кибератак, направленных на достижение политических и стратегических целей в регионе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
