コンテンツにスキップするには Enter キーを押してください

イランのAPT「BladedFeline」が8年間ネットワークに潜伏

投稿日 2025年6月5日

青空を背景にしたイランの旗

出典: Agencja Fotograficzna Caro via Alamy Stock Photo

イランのサイバー諜報グループが、標的のネットワークに約10年間潜伏していたことが発覚しました。

ESETは今日、「BladedFeline」と呼ばれるイランの高度持続的脅威(APT)についての研究を発表しました。研究者によれば、このグループは昨年、クルド人やイラク政府の役人が使用するシステムを標的にしたサイバー諜報キャンペーンを行ったとされています。このグループは少なくとも2017年から活動しており、ESETはこのグループがイラクとKRG(クルディスタン地域政府)内でのアクセスを維持・拡大するためのマルウェアを特に作成していると述べています。

伝統的に、イランのAPTは諜報活動、勢力投射、そして国の戦略を推進するために展開されてきました。一部のAPTはランサムウェア攻撃を行っていることも観察されています。

ESETが2023年に発見したとされるBladedFelineは、このパターンに合致します。今日の研究は、国家支援の攻撃者がどのようにして敵のシステムに侵入するかを詳細に説明しています。

BladedFelineキャンペーンの内部

ESETによると、このグループはクルド人役人に対して「Shahmaran」と呼ばれる独自のバックドアを展開していることが観察されています。研究者によれば、この「シンプルな」バックドアは64ビットの実行可能ファイルで、通信に圧縮や暗号化を使用せず、ターゲットのスタートアップディレクトリで最初に発見されました。

関連:オーストラリアが新しいランサムウェア支払い開示ルールを開始

“C&Cサーバーにチェックインした後、バックドアは提供されたオペレーターコマンドを実行し、追加ファイルのアップロードやダウンロード、特定のファイル属性の要求、ファイルおよびディレクトリ操作APIの提供を含みます”と研究者は述べています。

ESETは、BladedFelineがどのようにして初期アクセスを得たのかは不明であると述べています。KRGの被害者の場合、少なくとも2017年からターゲットネットワークへのアクセスを確立し、それ以来維持しています。イラク政府の被害者に対しては、ESETはグループがインターネットに面したウェブサーバーの欠陥を利用してウェブシェル展開を可能にしたと疑っています。

独自のShahmaranバックドアに加えて、研究はBladedFelineが「Whisper」と呼ばれるバックドア、ESETが「PrimeCache」と呼ぶ悪意のあるインターネットインフォメーションサービス(IIS)モジュール、リバースシェル「VideoSRV」、PowerShellエグゼキュータ、複数のリバーストンネルなどを使用していることを詳述しています。研究でカバーされたタイムラインは2017年9月から2024年3月までに及びます。

ESETの研究から、BladedFelineはクルディスタンとイラクを諜報関連の目的で標的にしており、「両政府機関の高官への戦略的アクセスを維持することを目指している」と評価されています。

“KRGの西側諸国との外交関係と、クルディスタン地域の石油埋蔵量が、イランに対する脅威アクターがスパイ活動や潜在的な操作を行う魅力的なターゲットとなっています”と報告書は述べています。”イラクでは、これらの脅威アクターは、米国の侵略と占領後の西側政府の影響を打ち消そうとしている可能性が高いです”

関連:「Earth Lamia」がアジア全域で既知のSQL、RCEバグを悪用

研究者はまた、BladedFelineが「Oilrig」のサブグループであると中程度の確信を持って評価しました。「Oilrig」は「APT34」やHazel Sandstormとも呼ばれるイランのサイバー諜報グループです。これは、PrimeCacheとOilRigのバックドアRDATのコードの類似性、およびOilRigのツールであるVideoSRVの使用の発見に基づいています。

ESETは、今後「BladedFelineがサイバー諜報のために、侵害された被害者セット内でのアクセスを維持・拡大するためにインプラント開発を続ける」と予測しています。

研究には、侵害の指標やさらなる技術的詳細が含まれています。

BladedFelineの文脈

メディア報道に名前が出ることを望まないため匿名を希望したESETの研究者は、より広範なAPTアクターのスペクトルと比較して、BladedFelineは中程度に高度なグループであり、独自のツールを開発しており、それらはかなり高品質であるとDark Readingに語っています。「他の多くのイランに関連するAPTグループと同様に、すぐには検出されません」と研究者は述べています。

関連:「CoGUI」フィッシングキットが日本を標的にする中国のハッカーを支援

最も重要なのは、述べられているように、このグループが8年間にわたり一部のクルド人役人へのアクセスを維持していることです。防御者の観点から、ESETはネットワーク内でどのアプリケーションが使用されているかを知ることを推奨しています。特に、組織内の高価値ターゲットやVIPが使用している場合です。

“BladeFelineグループが開発したこれらの特定のインプラントは、ネットワークのデータ流出経路においてかなりステルス性があります”とESETの研究者はDark Readingに語っています。”通常のトラフィックチャネル内にうまく隠れているので、ネットワークの観点から何が存在するかを知ることは有用です。そして、それを環境内でどのアプリケーションが動作しているかを知ることと組み合わせると、良好な状態の基準をかなり確立でき、そこから逸脱や異常な行動を特定できます”

翻訳元: https://www.darkreading.com/threat-intelligence/iranian-apt-bladedfeline-hides-network-8-years

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です