伊朗相关的黑客组织“BladedFeline”自2017年起持续针对伊拉克政府及库尔德地区政府实施网络间谍活动,其工具库持续升级,在最新的活动中,攻击者部署了专为隐蔽驻留设计的恶意软件套件,包含Whisper后门和PrimeCache模块,旨在窃取中东地缘政治情报。
伊朗国家级黑客组织“BladedFeline”(被评估为OilRig的分支)自2017年起持续针对伊拉克政府及库尔德地区政府(KRG)实施长达八年的网络间谍活动,其攻击工具库持续升级,最新部署的Whisper后门通过入侵的微软Exchange邮箱以邮件附件隐藏指令规避检测,而PrimeCache恶意IIS模块则采用被动潜伏模式——仅在预设Cookie触发时激活攻击功能,其余时间完全隐匿于正常服务器进程,结合隧道工具Laret/Pinar形成高度隐蔽的入侵框架,旨在长期窃取中东地缘政治敏感情报。
网络安全研究人员披露与伊朗存在关联的威胁组织“BladedFeline”(代号利爪猫)自2017年以来长期针对伊拉克政府及库尔德地区政府(KRG)实施网络间谍活动。
▍组织溯源:跨越八年的中东地缘监控网络
技术溯源显示,BladedFeline与伊朗国家级黑客组织OilRig存在强关联性:恶意软件功能设计与OilRig标志性后门RDAT高度相似,攻击基础设施存在重叠,战术目标均聚焦中东地缘政治情报收集。据此评估,BladedFeline极可能为OilRig组织的战术子单元。
▍武器进化:基于邮件协议与服务器进程的“合法通道”隐匿术
ESET研究证实,该组织自2017年首次入侵库尔德政府系统以来,持续升级其攻击工具库,展现出显著的技术演进。
最新攻击活动中,攻击者部署了专为隐蔽驻留设计的恶意软件套件,其中包含通过受损微软Exchange邮箱账户收发指令的“Whisper”后门——该后门将操作命令隐藏于邮件附件,规避传统安全检测机制。同时发现的恶意IIS模块“PrimeCache”以前所未有的被动潜伏模式运行:监控所有传入HTTP请求,仅在检测到预设Cookie结构时激活攻击功能,其余时间完全隐匿于正常服务器进程。
攻击工具链还包括两款反向隧道工具Laret与Pinar,以及多阶段渗透工具集。
▍战略升级:从敏感目标渗透到地区关键基础设施的全面掌控
最近,该组织已将行动范围扩展到伊拉克其他政府机构以及乌兹别克斯坦的一家电信提供商。这些活动清晰地显示出该组织以参与治理和通信基础设施的机构为目标的模式。
研究人员发现,更新后的恶意软件工具在2024年初仍活跃在这些环境中,这证实BladedFeline在持续改进其技术并扩大其行动范围。
该组织从使用简单的后门转向模块化、具备隐蔽能力的植入程序,突显了其意图在政治敏感环境中维持深度访问权限。
ESET警告称,这些不断演变的策略突显了伊朗关联行为体在该地区进行情报收集,同时避免引发警报的更广泛战略。
ESET总结道:“我们预计,BladedFeline将持续开发植入程序,以维持并扩大其在已入侵受害者群体中的访问权限,其目的很可能是进行网络间谍活动。”
转载请注明出处@安全威胁纵横,封面由chatgpt生成;
消息来源:
https://www.infosecurity-magazine.com/news/iran-hacking-group-targets-middle/
更多网络安全视频,请关注视频号“知道创宇404实验室”
原文始发于微信公众号(安全威胁纵横):伊朗黑客潜伏 8 年入侵中东多国政府,新型恶意软件能装死躲避检测!
评论