イランに関連するハッキンググループが、2024年初頭にクルドとイラクの政府関係者を標的とした新たなサイバー攻撃に関与しているとされています。
この活動は、ESETがBladedFelineとして追跡している脅威グループに関連しており、既知のイランの国家サイバーアクターであるOilRigのサブクラスターであると中程度の確信を持って評価されています。2017年9月以来、クルディスタン地域政府(KRG)に関連する関係者を標的にして活動していると言われています。
「このグループは、イラクとKRG内でのアクセスを維持・拡大するためのマルウェアを開発しています」とスロバキアのサイバーセキュリティ企業が、The Hacker Newsに共有した技術報告書で述べています。
「BladedFelineは、クルドの外交官への不正アクセスを維持するために一貫して活動し、同時にウズベキスタンの地域通信プロバイダーを利用し、イラク政府の関係者へのアクセスを開発・維持しています。」
BladedFelineは、ESETによって2024年5月に初めて文書化され、2023年第4四半期から2024年第1四半期のAPT活動報告の一部として、イラクのクルディスタン地域の政府機関への攻撃と、2022年5月に早くも侵害された可能性のあるウズベキスタンの通信プロバイダーを標的にした敵対者の攻撃を詳細に説明しています。
このグループは、Shahmaranという単純なバックドアを使用してクルドの外交官を狙った攻撃の後、2023年に発見されました。このバックドアは、リモートサーバーに接続し、感染したホスト上でオペレーターが提供するコマンドを実行してファイルをアップロードまたはダウンロードし、特定のファイル属性を要求し、ファイルおよびディレクトリ操作APIを提供します。
その後、昨年11月にサイバーセキュリティ企業は、特にイラクの地域および政府機関、そしてイラクからさまざまな国への外交使節団に対する攻撃を調整しているハッキングチームを観察し、Whisper(別名Veaty)、Spearal、Optimizerのような特注のバックドアを使用していると述べました。
「BladedFelineは、イラクの組織から外交および財務情報を収集することに多大な投資をしており、イラクがイラン政府の戦略的目標において大きな役割を果たしていることを示しています」とESETは2024年11月に指摘しました。「さらに、アゼルバイジャンの政府機関もBladedFelineのもう一つの焦点となっています。」
KRGの被害者に侵入するために使用された正確な初期アクセスベクターは不明ですが、脅威アクターはおそらくインターネットに接続されたアプリケーションの脆弱性を利用してイラク政府のネットワークに侵入し、Flogウェブシェルを展開して持続的なリモートアクセスを維持したと考えられています。
幅広いバックドアは、BladedFelineがそのマルウェア兵器庫を洗練することに専念していることを示しています。Whisperは、Microsoft Exchangeサーバー上の侵害されたウェブメールアカウントにログインし、電子メールの添付ファイルを通じて攻撃者と通信するC#/.NETバックドアです。Spearalは、コマンド・アンド・コントロール通信にDNSトンネリングを利用する.NETバックドアです。
2023年12月に観察された選択的攻撃には、「cmd.exe」を介してコマンドを実行し、外部URLからファイルをダウンロードし、ファイルをアップロードする限定的な機能を備えたSlippery Snakeletと呼ばれるPythonインプラントの展開も含まれています。
バックドアにもかかわらず、BladedFelineはターゲットネットワークへのアクセスを維持するためにLaretやPinarなどのさまざまなトンネリングツールを使用することで注目されています。また、悪意のあるIISモジュールであるPrimeCacheも使用されており、ESETによれば、OilRig APTが使用するRDATバックドアと類似しているとされています。
パッシブバックドアであるPrimeCacheは、攻撃者によって発行されたコマンドを処理し、ファイルを流出させるために、事前に定義されたクッキーヘッダー構造に一致する着信HTTPリクエストを監視することで機能します。
この側面と、OilRigのツールであるRDATとVideoSRVという逆シェルがそれぞれ2017年9月と2018年1月に侵害されたKRGシステムで発見されたという事実が相まって、BladedFelineがOilRig内のサブグループである可能性があるとされていますが、Lyceumとは異なる別のサブクラスターであるともされています。
OilRigとの関連性は、2024年9月のCheck Pointの報告書でも強化されており、イランのハッキンググループがイラク政府のネットワークに侵入し、WhisperとSpearalを使用して感染させたと指摘しています。
ESETは、2024年3月にVirusTotalプラットフォームにアップロードされたHawking Listenerという悪意のあるアーティファクトを特定しました。これは、Flogをアップロードしたのと同じ者によってアップロードされました。Hawking Listenerは、指定されたポートで待機し、「cmd.exe」を介してコマンドを実行する初期段階のインプラントです。
「BladedFelineは、KRGとGOIをサイバー諜報目的で標的にしており、両政府機関の高官への戦略的アクセスを維持することを目指しています」とESETは述べています。
「KRGの西側諸国との外交関係と、クルディスタン地域の石油埋蔵量が、イランに関連する脅威アクターにとってスパイ活動や潜在的な操作の魅力的なターゲットとなっています。イラクでは、これらの脅威アクターは、おそらく米国の侵攻と占領後の西側政府の影響を打ち消そうとしているのでしょう。」
翻訳元: https://thehackernews.com/2025/06/iran-linked-bladedfeline-hits-iraqi-and.html