ESET yeni bir casusluk faaliyetini ortaya çıkardı
Grubun, ele alınan sistemlerde keşfedilen bir dizi kötü amaçlı araç kullanımı, üst düzey organizasyone ve devlet yönetimine erişimi sürdürme ve genişletme çabasının devam ettiğini göstermektedir. Son, iki tünel açma aracı, çeşitli ek kampanya araçları, özel bir arka kapı Whisper ve kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü PrimeCache içeren BladedFeline’ın tükenmesi vurgulanıyor.
Whisper, bir Microsoft Exchange sunucusundaki güvenliği ihlal edilmiş bir webmail hesabında oturum açmak ve bunu e-posta ekleri aracılığıyla zararlılarla iletişim öğrenmek için kullanmaktır. PrimeCache aynı zamanda bir arka kapı görevi görüyor: Kötü amaçlı bir IIS modülü. PrimeCache ayrıca OilRig Advanced Persistent Threat (APT) grubu tarafından kullanılan RDAT arka kapısıyla da benzerlikler taşıyor.
ESET, bu kod benzerliklerinin yanı sıra diğer kanıtlara dayanarak BladedFeline’ın Orta Doğu’daki hükümetler ve peşinde olan İran’a bağlı bir APT grubu olan OilRig’in büyük grupta bir alt grubu olduğunu değerlendiriyor. Sondaki ilk implantlar OilRig’e kadar dayanıklıdır. Bu araçlar, grup hedeflenen ağlar içinde kalıcılık ve gizliliğe yönelik gruplamalarını yansıtıyor. BladedFeline, Kürt planının kurumsale yasal erişimini sürdürmek için sürekli olarak çalışılmış, aynı zamanda Özbekistan’daki bölgesel bir telekomünikasyon sağlayıcısını kullanmış ve Irak’taki kurumsale erişimi geliştirmiş ve sürdürmüş.
ESET Research, BladedFeline’ın siber casusluk amacıyla Irak Kürt Bölgesel Yönetimi ve Irak hükümetlerini hedef almasını; ve her iki kurumdaki üst düzey yöneticilerin bilgisayarlarına erişim sağlamayı amaçladığını değerlendiriyor. Batılı ülkelerdeki teklifler ve bölgedeki petrol rezervleri, İran’a bağlı tehdit aktörlerinin casusluk yapması ve potansiyel olarak manipüle edilmesi için çekici bir hedef hâline getiriyor. Irak’taki bu tehdit aktörleri, ABD’nin ülke işgali ve istilası sonrasında Batılı hükümetlerin etkisine karşı koymaya çalışıyor.
ESET Research, 2023 yılında BladedFeline’ın Shahmaran arka kapısı ile Kürt işlemlerinin kapsamını hedef kapsamını keşfetmiş ve daha önce ESET APT Etkinlik raporlarında faaliyetlerini bildirmektedir. Grup, Irak Kürt Bölgesel Yönetimi’ndeki katkıları 2017 yılından bu yana aktif ancak ESET Research’ün izlediği OilRig’in tek grubu değil. ESET, HEXANE veya Storm-0133 olarak da bilinen Lyceum’u başka bir OilRig alt grubu olarak izliyor. Lyceum, hükümet ve yerel yönetim kuruluşları ile sağlık alanındaki kuruluşlar da dahil olmak üzere çeşitli İsrail kuruluşlarını hedef almaya odaklanıyor.
ESET, BladedFeline’ın siber casusluk için tehlikesi atılmış kurban setine erişimi sürdürebilmesi ve genişletilmesi amacıyla implantın saklanacağı tahmin ediliyor.
