Un grupo de piratería alineado con Irán se ha atribuido a un nuevo conjunto de ataques cibernéticos dirigidos a funcionarios del gobierno kurdo e iraquí a principios de 2024.
La actividad está vinculada a un grupo de amenazas, ESET rastrea como Bladedfelineque se evalúa con la confianza media para ser un subgrupo dentro de Oilrig, un conocido actor cibernético de estado-estado iraní. Se dice que está activo desde septiembre de 2017, cuando se dirigió a funcionarios asociados con el Gobierno Regional de Kurdistán (KRG).
«Este grupo desarrolla malware para mantener y expandir el acceso dentro de las organizaciones en Irak y el KRG», dijo la compañía de seguridad cibernética eslovaca en un informe técnico compartido con Hacker News.
«Bladedfeline ha trabajado constantemente para mantener el acceso ilícito a los funcionarios diplomáticos kurdos, al tiempo que explota a un proveedor de telecomunicaciones regional en Uzbekistán, y el desarrollo y manteniendo el acceso a los funcionarios del gobierno de Irak».
Bladedfeline fue documentado por primera vez por ESET en mayo de 2024 como parte de su informe de actividad APT, el tercer trimestre 2023 – Q1 2024, que detalla el ataque del adversario contra una organización gubernamental de la región Kurdistán de Iraq y su objetivo del proveedor de telecomunicaciones de Uzbekistán que puede haber sido comprometido a principios de mayo 2022.
El grupo fue descubierto en 2023 después de los ataques dirigidos a funcionarios diplomáticos kurdos con Shahmaran, una puerta trasera simple que se registra con un servidor remoto y ejecuta cualquier comando proporcionado por el operador en el host infectado para cargar o descargar archivos, solicitar atributos de archivo específicos y proporcionar un archivo de manipulación de archivos y directorio API.
Luego, en noviembre pasado, la firma de ciberseguridad dijo que observó la tripulación de piratería que orquestaba ataques contra los vecinos de Irán, particularmente entidades regionales y gubernamentales en Irak y enviados diplomáticos de Irak a varios países, utilizando puestos a medida como Whisper (aka Veaty), Spearal y Optimizer.
«Bladedfeline ha invertido mucho en la recopilación de información diplomática y financiera de organizaciones iraquíes, lo que indica que Iraq desempeña un gran papel en los objetivos estratégicos del gobierno iraní», señaló ESET en noviembre de 2024 «.
Si bien el vector de acceso inicial exacto que se usa para ingresar a las víctimas de KRG no está claro, se sospecha que los actores de amenaza probablemente aprovecharon una vulnerabilidad en una aplicación orientada a Internet para entrar en redes gubernamentales iraquíes y desplegar el shell de la web del flog para mantener un acceso remoto persistente.
 |
| El funcionamiento interno de la puerta trasera de susurros |
La amplia gama de puertas traseras destaca el compromiso de Bladedfeline de refinar su arsenal de malware. Whisper es una puerta trasera n neta C#/. Que inicia sesión en una cuenta de correo web comprometido en un servidor de Microsoft Exchange y lo usa para comunicarse con los atacantes a través de archivos adjuntos de correo electrónico. Spearal es una puerta trasera .NET que utiliza túneles DNS para la comunicación de comando y control.
«Optimizer es una actualización iterativa en la puerta trasera de Spearal. Utiliza el mismo flujo de trabajo y ofrece las mismas características. Las principales diferencias entre Spearal y Optimizer son en gran medida cosméticos», dijo el equipo de investigación de ESET a The Hacker News.
Los ataques seleccionados observados en diciembre de 2023 también han involucrado el despliegue de un implante de Python denominado serpiente resbaladizo que viene con capacidades limitadas para ejecutar comandos a través de «cmd.exe», descargue archivos de una URL externa y cargue archivos.
A pesar de las puertas traseras, Bladedfeline es notable por el uso de varias herramientas de túnel LARET y Pinar para mantener el acceso a las redes de destino. También se usa un módulo IIS malicioso denominado Primecache, que ESET dijo que tiene similitudes con la puerta trasera RDAT utilizada por OilRig Apt.
Una puerta trasera pasiva, Primecache, funciona al estar atento a las solicitudes de HTTP entrantes que coinciden con una estructura de encabezado de cookies predefinida para procesar comandos emitidos por el atacante y los archivos exfiltrados.
Es este aspecto, junto con el hecho de que dos de las herramientas de OilRig, RDAT y un VideoSRV con nombre en código inverso, se descubrieron en un sistema de KRG comprometido en septiembre de 2017 y enero de 2018, respectivamente, ha llevado a la posibilidad de que Bladed-Celebrek pueda ser un subgrupo dentro de Oilrig, pero también diferente de Lyceum, un moniker asignado a un subcubrillero diferente.
La conexión OilRig también se ve reforzada por un informe de septiembre de 2024 desde Check Point, que apuntó con los dedos en el grupo de piratería iraní para infiltrarse en las redes de redes gubernamentales iraquíes e infectándolos con susurros y spearal utilizando probables esfuerzos de ingeniería social.
Eset dijo que identificó un artefacto malicioso llamado HAWKING LIGEN que fue subido a la plataforma Virustotal en marzo de 2024 por la misma parte que cargó una flagata. Hawking Listener es un implante de etapa temprana que escucha en un puerto especificado para ejecutar comandos a través de «cmd.exe».
«Bladedfeline está apuntando al KRG y al GOI para fines de ciber espionaje, con el ojo de mantener el acceso estratégico a funcionarios de alto rango en ambas entidades gubernamentales», concluyó la compañía.
«La relación diplomática del KRG con las naciones occidentales, junto con las reservas de petróleo en la región del Kurdistán, lo convierte en un objetivo atractivo para los actores de amenaza de Irán para espiar y manipular potencialmente. En Irak, estos actores de amenaza probablemente están tratando de contrarrestar la influencia de los gobiernos occidentales después de la invasión y ocupación de los Estados Unidos del país».