Iranische Hackergruppe BladedFeline zielt auf kurdische und irakische Regierungsstellen

IRAK / LONDON (IT BOLTWISE) – Eine iranisch ausgerichtete Hackergruppe, bekannt als BladedFeline, hat eine neue Reihe von Cyberangriffen auf kurdische und irakische Regierungsbeamte in den frühen Monaten des Jahres 2024 gestartet.

Die Bedrohungsgruppe, die von ESET als BladedFeline verfolgt wird, wird mit mittlerer Zuversicht als Untergruppe innerhalb von OilRig, einem bekannten iranischen staatlichen Cyberakteur, eingestuft. Diese Gruppe ist seit September 2017 aktiv, als sie erstmals Beamte der kurdischen Regionalregierung (KRG) ins Visier nahm. Laut einem technischen Bericht des slowakischen Cybersicherheitsunternehmens entwickelt BladedFeline Malware, um den Zugang zu Organisationen im Irak und der KRG aufrechtzuerhalten und auszubauen.

BladedFeline wurde erstmals im Mai 2024 von ESET dokumentiert, als Teil des APT Activity Report Q4 2023–Q1 2024. Der Bericht beschreibt die Angriffe der Gruppe auf eine Regierungsorganisation in der kurdischen Region des Irak und die gezielte Kompromittierung eines Telekommunikationsanbieters in Usbekistan, die möglicherweise bereits im Mai 2022 begann. Die Gruppe wurde 2023 entdeckt, nachdem Angriffe auf kurdische diplomatische Beamte mit Shahmaran, einem einfachen Backdoor, durchgeführt wurden.

Im November letzten Jahres beobachtete die Cybersicherheitsfirma, dass die Hackergruppe Angriffe gegen Nachbarn des Iran, insbesondere regionale und staatliche Einrichtungen im Irak sowie diplomatische Gesandte aus dem Irak in verschiedene Länder, orchestrierte. Dabei kamen maßgeschneiderte Backdoors wie Whisper (auch bekannt als Veaty), Spearal und Optimizer zum Einsatz. Diese Investitionen in die Sammlung diplomatischer und finanzieller Informationen von irakischen Organisationen deuten darauf hin, dass der Irak eine große Rolle in den strategischen Zielen der iranischen Regierung spielt.

Während der genaue anfängliche Zugangsvektor zu den Opfern der KRG unklar ist, wird vermutet, dass die Bedrohungsakteure wahrscheinlich eine Schwachstelle in einer internetfähigen Anwendung ausnutzten, um in irakische Regierungsnetzwerke einzudringen und die Flog-Web-Shell zu installieren, um einen dauerhaften Fernzugriff zu gewährleisten. Die breite Palette an Backdoors unterstreicht BladedFelines Engagement, sein Malware-Arsenal zu verfeinern.

Whisper ist ein C#/.NET-Backdoor, das sich in ein kompromittiertes Webmail-Konto auf einem Microsoft Exchange-Server einloggt und es nutzt, um mit den Angreifern über E-Mail-Anhänge zu kommunizieren. Spearal ist ein .NET-Backdoor, das DNS-Tunneling für die Kommando- und Kontrollkommunikation verwendet. Einige Angriffe im Dezember 2023 beinhalteten auch die Bereitstellung eines Python-Implantats namens Slippery Snakelet, das begrenzte Fähigkeiten zur Ausführung von Befehlen über “cmd.exe” bietet.

BladedFeline ist bemerkenswert für den Einsatz verschiedener Tunneling-Tools wie Laret und Pinar, um den Zugang zu Zielnetzwerken aufrechtzuerhalten. Auch ein bösartiges IIS-Modul namens PrimeCache wird eingesetzt, das laut ESET Ähnlichkeiten mit dem RDAT-Backdoor aufweist, das von OilRig APT verwendet wird. PrimeCache arbeitet passiv, indem es eingehende HTTP-Anfragen überwacht, die einer vordefinierten Cookie-Header-Struktur entsprechen, um Befehle des Angreifers zu verarbeiten und Dateien zu exfiltrieren.

Diese Aspekte, zusammen mit der Tatsache, dass zwei von OilRig verwendete Tools – RDAT und eine Reverse-Shell mit dem Codenamen VideoSRV – auf einem kompromittierten KRG-System im September 2017 und Januar 2018 entdeckt wurden, lassen die Möglichkeit zu, dass BladedFeline eine Untergruppe innerhalb von OilRig ist, sich jedoch von Lyceum unterscheidet – einem anderen Untercluster. Die Verbindung zu OilRig wird auch durch einen Bericht von Check Point im September 2024 gestützt, der die iranische Hackergruppe beschuldigt, in irakische Regierungsnetzwerke eingedrungen zu sein und diese mit Whisper und Spearal infiziert zu haben.

ESET identifizierte ein bösartiges Artefakt namens Hawking Listener, das im März 2024 von derselben Partei, die Flog hochgeladen hatte, auf die VirusTotal-Plattform hochgeladen wurde. Hawking Listener ist ein Implantat im Frühstadium, das auf einem bestimmten Port lauscht, um Befehle über “cmd.exe” auszuführen. BladedFeline zielt auf die KRG und die GOI zu Spionagezwecken ab, mit dem Ziel, strategischen Zugang zu hochrangigen Beamten in beiden Regierungsorganisationen zu erhalten.

Die diplomatischen Beziehungen der KRG zu westlichen Nationen, gepaart mit den Ölreserven in der kurdischen Region, machen sie zu einem verlockenden Ziel für iranisch ausgerichtete Bedrohungsakteure, um zu spionieren und möglicherweise zu manipulieren. Im Irak versuchen diese Bedrohungsakteure höchstwahrscheinlich, den Einfluss westlicher Regierungen nach der US-Invasion und Besetzung des Landes zu kontern.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!