Siber güvenlik şirketi Eset, İran’a bağlı BladedFeline adlı tehdit grubunun son siber casusluk kampanyasında Irak Kürt Bölgesel Yönetimi’ndeki ve Irak hükümetindeki yetkilileri hedef aldığını ortaya çıkardı. Grubun, ele geçirilen sistemlerde keşfedilen bir dizi kötü amaçlı araç kullanması üst düzey yetkililere ve devlet kurumlarına erişimi sürdürme ve genişletme çabasının devam ettiğini gösteriyor. Son kampanya, iki tünel açma aracı, çeşitli ek araçlar, özel bir arka kapı Whisper ve kötü amaçlı bir Internet Information Services (IIS) modülü PrimeCache içeren BladedFeline’ın gelişen yeteneklerini vurguluyor.
Whisper, bir Microsoft Exchange sunucusundaki güvenliği ihlal edilmiş bir webmail hesabında oturum açıyor ve bunu e-posta ekleri aracılığıyla saldırganlarla iletişim kurmak için kullanıyor. PrimeCache aynı zamanda bir arka kapı görevi de görüyor: Kötü niyetli bir IIS modülü. PrimeCache ayrıca OilRig Advanced Persistent Threat (APT) grubu tarafından kullanılan RDAT arka kapısıyla da benzerlikler taşıyor.
Eset, bu kod benzerliklerinin yanı sıra diğer kanıtlara dayanarak BladedFeline’ın Orta Doğu’daki hükümetler ve işletmelerin peşinde olan İran’a bağlı bir APT grubu olan OilRig’in büyük olasılıkla bir alt grubu olduğunu değerlendiriyor. Son kampanyadaki ilk implantlar OilRig’e kadar dayanıyor. Bu araçlar, grubun hedeflenen ağlar içinde kalıcılık ve gizliliğe yönelik stratejik odağını yansıtıyor. BladedFeline, Kürt diplomatik yetkililere yasa dışı erişimi sürdürmek için sürekli olarak çalışmış, aynı zamanda Özbekistan’daki bölgesel bir telekomünikasyon sağlayıcısını kullanmış ve Irak hükümetindeki yetkililere erişim geliştirmiş ve sürdürmüş.
Eset Research, BladedFeline’ın siber casusluk amacıyla Irak Kürt Bölgesel Yönetimi ve Irak hükümetlerini hedef aldığını; ve her iki kurumdaki üst düzey yetkililerin bilgisayarlarına stratejik erişim sağlamayı amaçladığını değerlendiriyor. Batılı ülkelerle olan diplomatik ilişkiler ve bölgedeki petrol rezervleri, İran’a bağlı tehdit aktörlerinin casusluk yapması ve potansiyel olarak manipüle etmesi için cazip bir hedef hâline getiriyor. Irak’ta bu tehdit aktörleri büyük olasılıkla ABD’nin ülkeyi işgali ve istilası sonrasında Batılı hükümetlerin etkisine karşı koymaya çalışmaktadır.
Eset Research, 2023 yılında BladedFeline’ın Shahmaran arka kapısı ile Kürt diplomatik yetkilileri hedef aldığını keşfetmiş ve daha önce Eset APT Activity raporlarında faaliyetlerini bildirmişti. Grup, Irak Kürt Bölgesel Yönetimi’ndeki yetkilileri tehlikeye attığı 2017 yılından beri aktif ancak Eset Research’ün izlediği OilRig’in tek alt grubu değil. Eset, HEXANE veya Storm-0133 olarak da bilinen Lyceum’u başka bir OilRig alt grubu olarak izliyor. Lyceum, hükümet ve yerel yönetim kuruluşları ile sağlık alanındaki kuruluşlar da dahil olmak üzere çeşitli İsrail kuruluşlarını hedef almaya odaklanıyor.
Eset, BladedFeline’ın siber casusluk için tehlikeye atılmış kurban setine erişimi sürdürmek ve genişletmek amacıyla implant geliştirmeye devam edeceğini tahmin ediyor.
Kaynak : 