Los grupos de piratería alineados en Irán se atribuyen a un nuevo conjunto de ataques cibernéticos dirigidos a funcionarios del gobierno kurdo e iraquí a principios de 2024.
Esta actividad está vinculada como el grupo de amenazas ESET Track. Esto está clasificado con confianza moderada como subcluster dentro de Oilrig, un conocido actor cibernético de estado-nación en Irán. Se dice que estuvo activo desde septiembre de 2017, cuando se dirigió a funcionarios relacionados con el Gobierno Regional de Kurdistán (KRG).
«El grupo está desarrollando malware para mantener y ampliar el acceso dentro de las organizaciones de Iraq y KRG», dijo la compañía de seguridad cibernética de Eslovak en un informe técnico compartido con Hacker News.
«Bladeferin ha trabajado constantemente para mantener el acceso ilegal a los diplomáticos kurdos, al tiempo que usa simultáneamente proveedores de telecomunicaciones locales en Uzbekistán para desarrollar y mantener el acceso a los funcionarios gubernamentales iraquíes».
Bladedfeline fue documentado por primera vez por ESET como parte de su informe de Actividad APT en mayo de 2024, detallando los ataques enemigos contra organizaciones gubernamentales de la región Kurdistán de Irak y apuntando a las compañías de pedidos por correo de Uzbekistán que comprometieron en mayo de 2022.
El grupo fue descubierto en 2023 después de un ataque dirigido a diplomáticos kurdos que usan Shahmaran, una puerta trasera simple que se registra en un servidor remoto, ejecuta comandos proporcionados por el operador de un host infectado para cargar o descargar archivos, solicitar atributos de archivos específicos y proporciona API de manipulación de archivos y directorio.
Luego, en noviembre pasado, la compañía de seguridad cibernética dijo que había observado ataques contra vecinos iraníes, particularmente pirateando equipos contra las regiones y agencias gubernamentales de Iraq, así como misiones diplomáticas de Irak a varios países.
«Bladedfeline invierte mucho en la recopilación de información diplomática y financiera de organizaciones iraquíes, lo que indica que Iraq juega un papel importante en los objetivos estratégicos del gobierno iraní», dijo ESET en noviembre de 2024.
Se desconoce el vector de acceso inicial exacto utilizado para ingresar a las víctimas de KRG, pero se sospecha que los actores de amenaza probablemente aprovechen las vulnerabilidades en sus aplicaciones orientadas a Internet para infiltrarse en redes gubernamentales iraquíes e implementar una webshell de rana para mantener un acceso remoto permanente.
Cómo funciona la puerta de susurro
La amplia gama de puertas traseras resalta el compromiso de BladeFerrin para refinar el arsenal de malware. Whisper inicia sesión en una cuenta de correo web comprometido en Microsoft Exchange Server y se comunica con el atacante a través de archivos adjuntos de correo electrónico, C#/. Es una puerta trasera neta. Spearal es una puerta trasera .NET que utiliza túneles DNS para comunicaciones de comando y control.
Algunos ataques observados en diciembre de 2023 también incluyen el despliegue de un implante de Python llamado snikelet resbaladizo con funcionalidad limitada para ejecutar comandos a través de «cmd.exe».
A pesar de la puerta trasera, Bladedfeline es notable para usar varias herramientas de túnel Laret y Pinar para mantener el acceso a la red objetivo. También usamos un módulo IIS malicioso llamado Primecache. Eset dijo que existe una similitud con la puerta trasera RDAT utilizada por OilRig Apt.
Una puerta trasera pasiva, Primecache, se centra en las solicitudes HTTP contenidas que coinciden con las estructuras de encabezado de cookies predefinidas para procesar los comandos emitidos por los atacantes y emitidos por archivos.
Este aspecto, junto con el hecho de que las dos herramientas de Oilrig (RDAT y VideoSRV en codificación de shell inverso) se descubrieron en los sistemas KRG que comprometimos en septiembre de 2017 y septiembre de 2018, respectivamente, sugiere que Bladed-Reline puede ser un subgrupo dentro de Oilrig, pero se difunde de la gama de subtrucos en el texto-subruster.
Además, las conexiones de la plataforma de petróleo se han fortalecido con los informes desde el punto de control de septiembre de 2024. Esto llevó a infiltrarse en una red de redes gubernamentales iraquíes y señalar dedos a los grupos de piratería iraníes para infectar susurros y lanzas utilizando las posibilidades de la ingeniería social.
ESET dijo que había identificado un artefacto malicioso llamado HAWKING LISTER que fue cargado en la plataforma Baltotal por la misma parte que cargó la rana en marzo de 2024. El oyente Hawking ejecuta el comando a través de «cmd.exe» con un implante de etapa temprana que escucha al puerto especificado.
«Bladedfeline se dirige a KRG y GOI con fines cibernéticos y está buscando mantener el acceso estratégico a altos funcionarios de ambas agencias gubernamentales», concluyó la compañía.
“Las relaciones diplomáticas de KRG con los países occidentales, junto con las reservas de petróleo en la región del Kurdistán, se han convertido en un objetivo atractivo para los actores de amenaza alineados por Irán para espiar y manipular potencialmente.
Source link
