详细内容或原文请订阅后点击阅览
bladedfeline:在黑暗中窃窃私语
ESET研究人员分析了BladedFeline进行的网络增长运动,该运动是伊朗一致的公寓集团,可能与Oilrig
来源:WeLiveSecurity _恶意软件2024年,ESET研究人员在库尔德和伊拉克政府官员使用的系统中发现了几种恶意工具。袭击背后的APT集团是BladedFeline,他是伊朗威胁性演员,至少从2017年起就一直活跃起来,当时它损害了库尔德斯坦地区政府(KRG)内的官员。该小组开发了用于维护和扩大伊拉克和KRG组织内部访问权限的恶意软件。虽然这是我们第一个涵盖BladedFeline的博客文章,但我们在2023年以Shahmaran Backdoor的身份瞄准了库尔德外交官员之后,在2023年发现了该小组,此前此前曾在ESET APT Activity报告中报道了其在ESET Apt Activity中的活动Q4 2023-Q1 2024和Q2 2024-Q3 2024。
Q4 2023-Q1 2024 Q2 2024-Q3 2024最近广告系列中使用的一系列工具表明,自部署Shahmaran以来,BladedFeline继续开发其武器库。我们发现了两个反向隧道,各种补充工具,最值得注意的是,我们将其命名为Whisper和一个恶意的IIS模块,我们称为Primecache。 Whisper是一个后门,可在Microsoft Exchange Server上登录折衷的Webmail帐户,并使用它通过电子邮件附件与攻击者进行通信。 Primecache也是后门:这是一个恶意的IIS模块,与我们在2021年本地IIS恶意软件解剖学中所谓的第2组有关。值得注意的是,Primecache还与伊朗一致的油丽APT组使用的RDAT后门具有相似之处。
本地IIS恶意软件的解剖基于这些代码的相似性以及本博客文章中提出的进一步证据,我们充满信心地评估了BladedFeline是Oilrig的一个亚组,这是一个伊朗一致的公寓集团,追随中东的政府和企业。我们以前已经报告了与油丽有关的其他活动。为了避免混乱,我们已经完善了我们的油丽跟踪,现在我们在Oilrig内的一个单独的亚组(Lyceum)下跟踪这两个操作。
报告 活动 时间轴 st ;