イランと関係のある脅威グループに関連付けられた長期的なサイバースパイ活動が、イラク政府およびクルディスタン地域政府(KRG)の政府機関を標的にしていることが確認されました。
ESETの新たな調査によると、「BladedFeline」と名付けられたこのグループは、2017年に活動を開始して以来、そのツールセットを大幅に進化させてきました。
新たな特徴としては、ステルス性と持続性を重視した高度なマルウェアツール群の使用が挙げられます。
その中には「Whisper」と呼ばれる新たに発見されたバックドアがあり、Microsoft Exchangeのウェブメールアカウントを利用してコマンドの受信やデータのメール添付による流出を行います。この隠密な手法により、攻撃者は従来の検知方法を回避しつつアクセスを維持できます。
新たに判明したマルウェアの能力
Whisperに加え、研究者らは「PrimeCache」と呼ばれる悪意のあるインターネットインフォメーションサービス(IIS)モジュールも発見しました。このサーバーベースのバックドアは、正規のウェブサーバープロセス内に潜み、ステルス的に動作します。
これらに加えて、LaretとPinarという2つのリバーストンネルツール、および複数の侵害後ユーティリティも展開されていました。
これらのツールにより、グループは以下を可能にしています:
-
重要な標的への長期的なアクセスの維持
-
暗号化通信手法を用いた検知回避
-
正規のウェブメールアカウントを通じたリモートコマンド実行
-
信頼されたサーバープロセス内での悪意ある活動の隠蔽
既知のマルウェアからのコード再利用が、より広範なOilRig作戦に関連していることから、BladedFelineがこの大きな枠組みのサブグループとして活動している可能性が示唆されています。この評価は、技術設計やマルウェアの機能の類似性によって裏付けられています。
OilRigの背景と戦術についてさらに読む:OilRig APTが最新の重要インフラ攻撃で大きく進化
高度化する手口が戦略的意図を反映
ESETによると、KRG内での初期侵入は少なくとも2017年に遡ることが確認されています。
最近では、同グループはイラクの他の政府機関やウズベキスタンの通信事業者にも活動範囲を拡大しています。これらの活動は、統治機関や通信インフラに関与する組織を標的とする明確な傾向を示しています。
研究者らは、これらの環境で2024年初頭までに更新されたマルウェアツールが活動していることを確認し、BladedFelineが技術を洗練させつつ、作戦範囲を拡大し続けていることを明らかにしました。
単純なバックドアからモジュール型でステルス性の高いインプラントへの移行は、同グループが政治的に機微な環境への深いアクセスを維持しようとする意図を示しています。
ESETは、進化する戦術がイラン系アクターによる地域での情報収集活動の拡大戦略を裏付けていると警告しています。
「BladedFelineは、サイバースパイ活動のために、侵害した被害者へのアクセスを維持・拡大する目的でインプラント開発を継続するものと予想されます」と同社は結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/iran-hacking-group-targets-middle/