Sofisticirana iranska grupa za sajber špijunažu održava neotkriveni pristup vladinim mrežama širom Iraka i regionalne kurdistanske vlade skoro osam godina, što predstavlja jednu od najdužih naprednih kampanja upornih prijetnji na Bliskom istoku.
Grupa, koju su sigurnosni istraživači označili kao BladedFeline, djeluje najmanje od 2017. godine, sistematski ciljajući kurdske diplomatske zvaničnike i visokorangirane službenike iračke vlade, dok istovremeno razvija opsežan arsenal prilagođenih alata za razvoj malicioznog softvera.
Metodologija napada koju koristi BladedFeline pokazuje izuzetnu operativnu sigurnost i strpljenje, karakteristike tipične za hakere koje sponzoriše država.
Grupa u početku dobija pristup putem iskorištavanja javno dostupnih aplikacija na web serverima izloženim internetu, naknadno implementirajući web shell-ove i uspostavljajući višestruke mehanizme perzistencije kako bi osigurala dugoročni pristup.
Analitičari WeLiveSecurityja identifikovali su grupu 2023. godine nakon što su otkrili njihov prepoznatljivi Shahmaran backdoor usmjeren na kurdske diplomatske zvaničnike, iako dokazi ukazuju na to da su njihove operacije započele godinama ranije.
Opseg kampanje proteže se izvan tradicionalnih vladinih ciljeva i uključuje regionalnu telekomunikacijsku infrastrukturu, a istraživači dokumentuju uspješnu infiltraciju telekomunikacijskog provajdera u Uzbekistanu.
Ova široka strategija ciljanja usklađena je s iranskim prioritetima prikupljanja strateških obavještajnih podataka u regiji, posebno u vezi s uticajem Zapada na Irak nakon invazije i diplomatske odnose i naftne resurse kurdistanske regije.
.webp)
Istraživači sigurnosti sa srednjom sigurnošću procjenjuju da BladedFeline djeluje kao podgrupa unutar veće OilRig APT organizacije, dijeleći sličnosti u kodu i taktičke obrasce s etabliranim iranskim hakerom.
Uticaj BladedFeline daleko prevazilazi tipične aktivnosti sajber špijunaže, jer je grupa pokazala sposobnost održavanja strateškog pristupa osjetljivim vladinim komunikacijama i procesima donošenja odluka.
Produžena priroda njihovog pristupa ukazuje na uspješno prikupljanje diplomatskih obavještajnih podataka, političkih razmatranja i potencijalno povjerljivih informacija koje bi mogle uticati na regionalnu geopolitičku dinamiku.
Njihov sofisticirani set alata ukazuje na značajna ulaganja u održavanje operativnih sposobnosti, a istovremeno izbjegavanje otkrivanja konvencionalnim sigurnosnim mjerama .
Infrastruktura komandovanja i kontrole zasnovana na e-pošti
Najinventivnije tehničko dostignuće grupe leži u razvoju Whisper backdoora, koji revolucionira tradicionalnu komunikaciju komandovanja i kontrole iskorištavanjem kompromitovanih Microsoft Exchange email naloga.
.webp)
Ovaj pristup efikasno kamuflira maliciozni promet unutar legitimnih tokova e-pošte organizacija, što izuzetno otežava otkrivanje tradicionalnim sistemima za praćenje mreže.
Whisperov operativni tijek rada pokazuje izuzetnu tehničku sofisticiranost. Maliciozni softver se autentifikuje na kompromitovanim webmail računima koristeći kredencijale pohranjene u XML konfiguracijskoj datoteci s base64 kodiranim elementima.
Nakon autentifikacije, uspostavlja pravila filtriranja e-pošte s fiksno kodiranim nazivom „MicosoftDefaultRules“ koja automatski preusmjeravaju dolazne naredbe operatera u određene mape na osnovu kriterija naslova koji sadrže „PMO“.
Stražnja vrata održavaju trajnu komunikaciju slanjem poruka za prijavu svakih 10 sati na određenu adresu e-pošte, s naslovom “Sadržaj” i tijelom poruke koje sadrži base64-kodirane informacije o identifikaciji sistema.
Izvršavanje naredbi se odvija putem šifrovanih priloga e-pošte koje obrađuje Whisperov mehanizam za dešifrovanje.
Maliciozni softver koristi AES enkripciju sa 16-bajtnim inicijalizacijskim vektorom i čvrsto kodiranim ključem za dešifrovanje naredbi operatora, koje stižu u formatu ;.
Podržane operacije uključuju manipulaciju datotekama, izvršavanje PowerShell skripti i eksfiltraciju podataka, pri čemu se svi izlazni podaci naredbi šifruju i vraćaju putem priloga e-pošte na adresu originalnog pošiljaoca.
Ova arhitektura zasnovana na e-pošti predstavlja značajnu evoluciju u APT metodama komunikacije, efikasno iskorištavajući pouzdane poslovne procese za održavanje tajnih kanala, a istovremeno se predstavlja kao rutinska organizacijska prepiska.
Izvor: CyberSecurityNews
