伊朗APT组织BladedFeline在目标网络潜伏了8年

ESET 研究人员发现伊朗APT组织 BladedFeline 的持续活动，该组织近八年来一直秘密访问库尔德和伊拉克政府官员的网络。

BladedFeline 于 2017 年在针对库尔德斯坦地区政府 (KRG) 的攻击中首次被发现，此后发展成为一个复杂的网络间谍实体，目标是伊拉克高级官员，乌兹别克斯坦的一家电信提供商。

网络间谍活动针对库尔德人和伊拉克官员

2023 年，ESET 检测到针对库尔德外交官员部署了APT组织“BladedFeline”的标志性后门 Shahmaran 。

Shahmaran 是目标启动目录中发现的一个 64 位可移植可执行文件，它缺乏用于网络通信的加密或压缩，但可以有效地从其命令和控制 (C&C) 服务器执行命令，从而促进文件操作和数据泄露。

从那时起，BladedFeline 就通过 Whisper 后门等工具扩展了其武器库，该后门利用受损的 Microsoft Exchange 网络邮件帐户通过电子邮件附件进行通信，以及 PrimeCache，这是一种充当被动后门的恶意 Internet 信息服务 (IIS) 模块。

PrimeCache 与伊朗另一个 OilRig APT 组织使用的 RDAT 后门具有相似的代码，ESET 评估认为BladedFeline 是 OilRig 的一个分支，OilRig 是一个知名的网络间谍组织，至少自 2014 年以来一直活跃于针对中东政府和行业的活动。

攻击时间线从 2017 年到 2024 年，包括使用 VideoSRV 等反向 shell、Sheep Tunneler 等自定义隧道工具以及名为 Laret 和 Pinar 的反向隧道。

该组织的目标是库尔德地区政府官员、伊拉克政府实体和区域电信提供商，这表明其战略重点是情报收集，这可能是出于伊朗想要对抗西方在伊拉克的影响力和利用石油资源丰富的库尔德斯坦地区的外交关系。

Whisper 和 PrimeCache 等工具展示了先进的技术，例如用于 C&C 通信的 RSA 和 AES-CBC 加密，以及使用合法电子邮件帐户绕过传统防御，展示了该组织近十年运营中的技术实力和适应能力。

技术报告：

https://www.welivesecurity.com/en/eset-research/bladedfeline-whispering-dark/

新闻链接：

https://gbhackers.com/iranian-apt-bladedfeline-remains-hidden/