Un montón de piratería simpatizante con Irán se ha atribuido a un nuevo conjunto de ataques cibernéticos dirigidos a funcionarios del gobierno kurdo e iraquí a principios de 2024.
La actividad está vinculada a un montón de amenazas, ESET rastrea como Bladedfelineque se evalúa con la confianza media para ser un subgrupo internamente de Oilrig, un conocido actor cibernético de estado-estado iraní. Se dice que está activo desde septiembre de 2017, cuando se dirigió a funcionarios asociados con el Gobierno Regional de Kurdistán (KRG).
«Este montón desarrolla malware para surtir y expandir el entrada internamente de las organizaciones en Irak y el KRG», dijo la compañía de seguridad cibernética eslovaca en un noticia técnico compartido con Hacker News.
«Bladedfeline ha trabajado constantemente para surtir el entrada ilícito a los funcionarios diplomáticos kurdos, al tiempo que explota a un proveedor de telecomunicaciones regional en Uzbekistán, y el progreso y manteniendo el entrada a los funcionarios del gobierno de Irak».
Bladedfeline fue documentado por primera vez por ESET en mayo de 2024 como parte de su noticia de actividad APT, el tercer trimestre 2023 – Q1 2024, que detalla el ataque del adversario contra una estructura oficial de la región Kurdistán de Iraq y su objetivo del proveedor de telecomunicaciones de Uzbekistán que puede suceder sido comprometido a principios de mayo 2022.
El montón fue descubierto en 2023 luego de los ataques dirigidos a funcionarios diplomáticos kurdos con Shahmaran, una puerta trasera simple que se registra con un servidor remoto y ejecuta cualquier comando proporcionado por el cirujano en el host infectado para cargar o descargar archivos, solicitar atributos de archivo específicos y proporcionar un archivo de manipulación de archivos y directorio API.
Luego, en noviembre pasado, la firma de ciberseguridad dijo que observó la tripulación de piratería que orquestaba ataques contra los vecinos de Irán, particularmente entidades regionales y gubernamentales en Irak y enviados diplomáticos de Irak a varios países, utilizando puestos a medida como Whisper (aka Veaty), Spearal y Optimizer.
«Bladedfeline ha invertido mucho en la colección de información diplomática y financiera de organizaciones iraquíes, lo que indica que Iraq desempeña un gran papel en los objetivos estratégicos del gobierno iraní», señaló ESET en noviembre de 2024 «.
Si adecuadamente el vector de entrada original exacto que se usa para ingresar a las víctimas de KRG no está claro, se sospecha que los actores de amenaza probablemente aprovecharon una vulnerabilidad en una aplicación orientada a Internet para entrar en redes gubernamentales iraquíes y desplegar el shell de la web del flog para surtir un entrada remoto persistente.
 |
| El funcionamiento interno de la puerta trasera de susurros |
La amplia matiz de puertas traseras destaca el compromiso de Bladedfeline de refinar su cantera de malware. Whisper es una puerta trasera n neta C#/. Que inicia sesión en una cuenta de correo web comprometido en un servidor de Microsoft Exchange y lo usa para comunicarse con los atacantes a través de archivos adjuntos de correo electrónico. Spearal es una puerta trasera .NET que utiliza túneles DNS para la comunicación de comando y control.
«Optimizer es una puesta al día iterativa en la puerta trasera de Spearal. Utiliza el mismo flujo de trabajo y ofrece las mismas características. Las principales diferencias entre Spearal y Optimizer son en gran medida cosméticos», dijo el equipo de investigación de ESET a The Hacker News.
Los ataques seleccionados observados en diciembre de 2023 todavía han involucrado el despliegue de un implante de Python denominado serpiente resbaladizo que viene con capacidades limitadas para ejecutar comandos a través de «cmd.exe», descargue archivos de una URL externa y cargue archivos.
A pesar de las puertas traseras, Bladedfeline es trascendental por el uso de varias herramientas de túnel LARET y Pinar para surtir el entrada a las redes de destino. Todavía se usa un módulo IIS zorro denominado Primecache, que ESET dijo que tiene similitudes con la puerta trasera RDAT utilizada por OilRig Apt.
Una puerta trasera pasiva, Primecache, funciona al estar atento a las solicitudes de HTTP entrantes que coinciden con una estructura de encabezado de cookies predefinida para procesar comandos emitidos por el atacante y los archivos exfiltrados.
Es este aspecto, contiguo con el hecho de que dos de las herramientas de OilRig, RDAT y un VideoSRV con nombre en código inverso, se descubrieron en un sistema de KRG comprometido en septiembre de 2017 y enero de 2018, respectivamente, ha llevado a la posibilidad de que Bladed-Celebrek pueda ser un subgrupo internamente de Oilrig, pero todavía diferente de Lyceum, un moniker asignado a un subcubrillero diferente.
La conexión OilRig todavía se ve reforzada por un noticia de septiembre de 2024 desde Check Point, que apuntó con los dedos en el montón de piratería iraní para infiltrarse en las redes de redes gubernamentales iraquíes e infectándolos con susurros y spearal utilizando probables esfuerzos de ingeniería social.
Eset dijo que identificó un artefacto zorro llamado HAWKING LIGEN que fue subido a la plataforma Virustotal en marzo de 2024 por la misma parte que cargó una flagata. Hawking Listener es un implante de etapa temprana que audición en un puerto especificado para ejecutar comandos a través de «cmd.exe».
«Bladedfeline está apuntando al KRG y al GOI para fines de ciber espionaje, con el ojo de surtir el entrada importante a funcionarios de detención rango en ambas entidades gubernamentales», concluyó la compañía.
«La relación diplomática del KRG con las naciones occidentales, contiguo con las reservas de petróleo en la región del Kurdistán, lo convierte en un objetivo atractivo para los actores de amenaza de Irán para espiar y manipular potencialmente. En Irak, estos actores de amenaza probablemente están tratando de contrarrestar la influencia de los gobiernos occidentales luego de la invasión y ocupación de los Estados Unidos del país».
