گروه هکری وابسته به ایران در اوایل سال ۲۰۲۴ مسئولیت مجموعه جدیدی از حملات سایبری علیه مقامات دولتی کرد و عراقی را بر عهده گرفته است. این فعالیت به گروه تهدیدی نسبت داده می‌شود که شرکت ESET آن را با نام BladedFeline شناسایی کرده است. این گروه احتمالاً زیرمجموعه‌ای از OilRig، یک بازیگر سایبری دولتی شناخته شده ایرانی است.

فعالیت این گروه از سپتامبر ۲۰۱۷ آغاز شده و در آن زمان مقامات مرتبط با حکومت اقلیم کردستان را هدف قرار داده بود. شرکت امنیت سایبری اسلواکی ESET در گزارش فنی خود اعلام کرد: “این گروه بدافزارهایی را برای حفظ و گسترش دسترسی در سازمان‌های عراق و حکومت اقلیم کردستان توسعه می‌دهد.”

BladedFeline به طور مداوم برای حفظ دسترسی غیرقانونی به مقامات دیپلماتیک کرد تلاش کرده و همزمان یک ارائه‌دهنده خدمات مخابراتی منطقه‌ای در ازبکستان را مورد سوءاستفاده قرار داده است. این گروه همچنین به توسعه و حفظ دسترسی به مقامات دولت عراق پرداخته است.

ESET برای اولین بار در می ۲۰۲۴ این گروه را مستند کرد و جزئیات حمله به یک سازمان دولتی از منطقه کردستان عراق را فاش ساخت. ارائه‌دهنده خدمات مخابراتی ازبکستان احتمالاً از می ۲۰۲۲ مورد نفوذ قرار گرفته بود.

این گروه در سال ۲۰۲۳ پس از حملات علیه مقامات دیپلماتیک کرد با استفاده از Shahmaran کشف شد. Shahmaran یک درب پشتی ساده است که با سرور راه دور ارتباط برقرار کرده و دستورات اپراتور را برای آپلود یا دانلود فایل‌ها اجرا می‌کند.

در نوامبر گذشته، ESET مشاهده کرد که این گروه هکری حملاتی را علیه همسایگان ایران، به‌ویژه نهادهای منطقه‌ای و دولتی در عراق و نمایندگان دیپلماتیک عراق در کشورهای مختلف، با استفاده از درب‌های پشتی سفارشی مانند Whisper، Spearal و Optimizer سازماندهی کرده است.

ESET در نوامبر ۲۰۲۴ اعلام کرد: “BladedFeline سرمایه‌گذاری سنگینی در جمع‌آوری اطلاعات دیپلماتیک و مالی از سازمان‌های عراقی انجام داده که نشان می‌دهد عراق نقش بزرگی در اهداف استراتژیک دولت ایران دارد. علاوه بر این، سازمان‌های دولتی در آذربایجان نیز مورد توجه BladedFeline بوده‌اند.”

در حالی که بردار دسترسی اولیه دقیق مورد استفاده برای نفوذ به قربانیان حکومت اقلیم کردستان مشخص نیست، گمان می‌رود که مهاجمان احتمالاً از آسیب‌پذیری در یک برنامه کاربردی متصل به اینترنت برای نفوذ به شبکه‌های دولتی عراق و استقرار وب شل Flog برای حفظ دسترسی از راه دور استفاده کرده‌اند.

طیف گسترده درب‌های پشتی تعهد BladedFeline به بهبود زرادخانه بدافزاری خود را نشان می‌دهد. Whisper یک درب پشتی C#/.NET است که به حساب وب‌میل در معرض خطر در سرور Microsoft Exchange وارد شده و از آن برای ارتباط با مهاجمان از طریق پیوست‌های ایمیل استفاده می‌کند. Spearal یک درب پشتی .NET است که از تونل‌زنی DNS برای ارتباط فرماندهی و کنترل استفاده می‌کند.

تیم تحقیقاتی ESET توضیح داد: “Optimizer یک به‌روزرسانی تکراری از درب پشتی Spearal است. از همان گردش کار استفاده کرده و همان ویژگی‌ها را ارائه می‌دهد. تفاوت‌های اصلی بین Spearal و Optimizer عمدتاً ظاهری هستند.”

حملات منتخب مشاهده شده در دسامبر ۲۰۲۳ همچنین شامل استقرار یک ایمپلنت Python به نام Slippery Snakelet بوده که دارای قابلیت‌های محدود برای اجرای دستورات از طریق “cmd.exe”، دانلود فایل‌ها از URL خارجی و آپلود فایل‌ها است.

BladedFeline به دلیل استفاده از ابزارهای تونل‌زنی مختلف Laret و Pinar برای حفظ دسترسی به شبکه‌های هدف قابل توجه است. همچنین از یک ماژول IIS مخرب به نام PrimeCache استفاده می‌شود که ESET گفت شباهت‌هایی با درب پشتی RDAT مورد استفاده توسط OilRig APT دارد.

PrimeCache یک درب پشتی غیرفعال است که با نظارت بر درخواست‌های HTTP ورودی که با ساختار سرآیند کوکی از پیش تعریف شده مطابقت دارند، دستورات صادر شده توسط مهاجم را پردازش کرده و فایل‌ها را استخراج می‌کند.

این جنبه، همراه با این واقعیت که دو ابزار OilRig – RDAT و یک پوسته معکوس با نام رمز VideoSRV – به ترتیب در سپتامبر ۲۰۱۷ و ژانویه ۲۰۱۸ در یک سیستم در معرض خطر حکومت اقلیم کردستان کشف شدند، منجر به این احتمال شده که BladedFeline ممکن است زیرگروهی در OilRig باشد.

ارتباط با OilRig همچنین توسط گزارش سپتامبر ۲۰۲۴ از Check Point تقویت شد که گروه هکری ایرانی را به نفوذ در شبکه‌های دولتی عراق و آلوده کردن آن‌ها با Whisper و Spearal با استفاده از تلاش‌های احتمالی مهندسی اجتماعی متهم کرد.

ESET گفت که یک مصنوع مخرب به نام Hawking Listener را شناسایی کرده که در مارس ۲۰۲۴ توسط همان طرفی که Flog را آپلود کرده بود، به پلتفرم VirusTotal آپلود شد. Hawking Listener یک ایمپلنت مرحله اولیه است که در یک پورت مشخص گوش می‌دهد تا دستورات را از طریق “cmd.exe” اجرا کند.

شرکت نتیجه‌گیری کرد: “BladedFeline حکومت اقلیم کردستان و دولت عراق را برای اهداف جاسوسی سایبری هدف قرار می‌دهد، با هدف حفظ دسترسی استراتژیک به مقامات عالی‌رتبه در هر دو نهاد دولتی. روابط دیپلماتیک حکومت اقلیم کردستان با کشورهای غربی، همراه با ذخایر نفتی در منطقه کردستان، آن را به هدفی جذاب برای بازیگران تهدید وابسته به ایران برای جاسوسی و دستکاری احتمالی تبدیل می‌کند. در عراق، این بازیگران تهدید احتمالاً در تلاش برای مقابله با نفوذ دولت‌های غربی پس از تهاجم و اشغال کشور توسط آمریکا هستند.”