Sebuah kelompok peretasan yang selaras Iran telah dikaitkan dengan serangkaian serangan dunia maya yang menargetkan pejabat pemerintah Kurdi dan Irak pada awal 2024.
Kegiatan ini terkait dengan trek ESET kelompok ancaman sebagai BladedFelineyang dinilai dengan kepercayaan sedang untuk menjadi sub-cluster di dalam Oilrig, aktor cyber negara-bangsa Iran yang dikenal. Dikatakan aktif sejak September 2017, ketika menargetkan pejabat yang terkait dengan Pemerintah Daerah Kurdistan (KRG).
“Grup ini mengembangkan malware untuk mempertahankan dan memperluas akses dalam organisasi di Irak dan KRG,” kata perusahaan cybersecurity Slovakia dalam laporan teknis yang dibagikan kepada Hacker News.
“BladedFeline telah bekerja secara konsisten untuk mempertahankan akses ilegal ke pejabat diplomatik Kurdi, sementara secara bersamaan mengeksploitasi penyedia telekomunikasi regional di Uzbekistan, dan mengembangkan dan memelihara akses ke pejabat di pemerintah Irak.”
BladedFeline pertama kali didokumentasikan oleh ESET pada Mei 2024 sebagai bagian dari Laporan Kegiatan APT Q4 2023 – Q1 2024, merinci serangan musuh terhadap organisasi pemerintah dari wilayah Kurdistan Irak dan penargetan penyedia telekomunikasi Uzbekistan yang mungkin telah dikompromikan pada awal Mei 2022.
Kelompok ini ditemukan pada tahun 2023 setelah serangan yang ditujukan untuk pejabat diplomatik Kurdi dengan Shahmaran, pintu belakang sederhana yang memeriksa dengan server jarak jauh dan menjalankan perintah yang disediakan operator pada host yang terinfeksi untuk mengunggah atau mengunduh file, meminta atribut file tertentu, dan menyediakan file manipulasi file dan direktori.
Kemudian November lalu, perusahaan cybersecurity mengatakan mereka mengamati kru peretasan yang mengatur serangan terhadap tetangga Iran, khususnya entitas regional dan pemerintah di Irak dan utusan diplomatik dari Irak ke berbagai negara, menggunakan pintu belakang yang dipesan lebih dahulu seperti Whisper (alias Veaty), spearal, dan pengoptimal.
“BladedFeline telah banyak berinvestasi dalam mengumpulkan informasi diplomatik dan keuangan dari organisasi Irak, menunjukkan bahwa Irak memainkan peran besar dalam tujuan strategis pemerintah Iran,” kata ESET pada November 2024. “Selain itu, organisasi pemerintah di Azerbaijan telah menjadi fokus lain dari Bladedfeline.” “” “” “” “” “
Sementara vektor akses awal yang tepat yang digunakan untuk masuk ke korban KRG tidak jelas, diduga bahwa para aktor ancaman kemungkinan memanfaatkan kerentanan dalam aplikasi yang menghadap ke internet untuk masuk ke jaringan pemerintah Irak dan menyebarkan shell Web Flog untuk mempertahankan akses jarak jauh yang terus-menerus.
 |
| Cara kerja dalam bisikan backdoor |
Berbagai macam komitmen BladedFeline menyorot untuk menyempurnakan gudang malware -nya. Whisper adalah backdoor C#/. Net yang masuk ke akun webmail yang dikompromikan di server Microsoft Exchange dan menggunakannya untuk berkomunikasi dengan penyerang melalui lampiran email. Spearal adalah pintu belakang .NET yang menggunakan tunneling DNS untuk komunikasi perintah-dan-kontrol.
“Pengoptimal adalah pembaruan berulang pada pintu belakang spearal. Ini menggunakan alur kerja yang sama dan menawarkan fitur yang sama. Perbedaan utama antara Spearal dan Optimizer sebagian besar adalah kosmetik,” kata tim peneliti ESET kepada Hacker News.
Serangan terpilih yang diamati pada bulan Desember 2023 juga melibatkan penyebaran implan Python yang disebut sebagai Snakelet licin yang dilengkapi dengan kemampuan terbatas untuk menjalankan perintah melalui “CMD.EXE,” unduh file dari URL eksternal, dan unggah file.
Meskipun demikian, BladedFeline terkenal karena penggunaan berbagai alat tunneling Laret dan Pinar untuk mempertahankan akses ke jaringan target. Juga digunakan adalah modul IIS berbahaya yang dijuluki primecache, yang menurut Eset memiliki kesamaan dengan pintu belakang RDAT yang digunakan oleh Oilrig Apt.
Sebuah pintu belakang pasif, Primecache bekerja dengan mengawasi permintaan HTTP yang masuk yang sesuai dengan struktur header cookie yang telah ditentukan untuk memproses perintah yang dikeluarkan oleh file penyerang dan exfiltrate.
Ini adalah aspek ini, ditambah dengan fakta bahwa dua alat Oilrig-RDAT dan videosrv berbalik shell terbalik-ditemukan pada sistem KRG yang dikompromikan pada bulan September 2017 dan Januari 2018, masing-masing, telah menyebabkan kemungkinan bahwa bladedfeline dapat berupa subkelompok di dalam Oilrig, tetapi juga berbeda dari Lyceum-Moniker yang ditugaskan.
Koneksi Oilrig juga diperkuat oleh laporan September 2024 dari Check Point, yang menunjuk pada kelompok peretasan Iran untuk menyusup ke jaringan jaringan pemerintah Irak dan menginfeksi mereka dengan bisikan dan tombak menggunakan upaya rekayasa sosial yang mungkin.
ESET mengatakan itu mengidentifikasi artefak jahat bernama Hawking Listener yang diunggah ke platform VirusTotal pada Maret 2024 oleh pihak yang sama yang mengunggah Flog. Hawking Listener adalah implan tahap awal yang mendengarkan port yang ditentukan untuk menjalankan perintah melalui “cmd.exe.”
“BladedFeline menargetkan KRG dan GOI untuk tujuan spionase dunia maya, dengan tujuan mempertahankan akses strategis ke pejabat tinggi di kedua entitas pemerintah,” pungkas perusahaan.
“Hubungan diplomatik KRG dengan negara-negara barat, ditambah dengan cadangan minyak di wilayah Kurdistan, menjadikannya target yang menarik bagi para aktor ancaman yang selaras Iran untuk memata-matai dan berpotensi memanipulasi. Di Irak, para aktor ancaman ini kemungkinan besar mencoba untuk melawan pengaruh pemerintah Barat mengikuti invasi dan pendudukan AS.”
