Siber güvenlik şirketi ESET, İran’a bağlı BladedFeline isimli tehdit kümesinin son siber casusluk kampanyasında Irak Kürt Bölgesel Yönetimi’ndeki ve Irak hükümetindeki yetkilileri gaye aldığını ortaya çıkardı. Kümenin, ele geçirilen sistemlerde keşfedilen bir dizi makus gayeli araç kullanması üst seviye yetkililere ve devlet kurumlarına erişimi sürdürme ve genişletme gayretinin devam ettiğini gösteriyor. Son kampanya, iki tünel açma aracı, çeşitli ek araçlar, özel bir art kapı Whisper ve makus emelli bir Internet Information Services (IIS) modülü PrimeCache içeren BladedFeline’ın gelişen yeteneklerini vurguluyor.
Whisper, bir Microsoft Exchange sunucusundaki güvenliği ihlal edilmiş bir webmail hesabında oturum açıyor ve bunu e-posta ekleri aracılığıyla saldırganlarla irtibat kurmak için kullanıyor. PrimeCache birebir vakitte bir art kapı vazifesi de görüyor: Makus niyetli bir IIS modülü. PrimeCache ayrıyeten OilRig Advanced Persistent Threat (APT) kümesi tarafından kullanılan RDAT art kapısıyla da benzerlikler taşıyor.
ESET, bu kod benzerliklerinin yanı sıra öbür delillere dayanarak BladedFeline’ın Orta Doğu’daki hükümetler ve işletmelerin peşinde olan İran’a bağlı bir APT kümesi olan OilRig’in büyük olasılıkla bir alt kümesi olduğunu pahalandırıyor. Son kampanyadaki birinci implantlar OilRig’e kadar dayanıyor. Bu araçlar, kümenin hedeflenen ağlar içinde kalıcılık ve kapalılığa yönelik stratejik odağını yansıtıyor. BladedFeline, Kürt diplomatik yetkililere yasa dışı erişimi sürdürmek için daima olarak çalışmış, tıpkı vakitte Özbekistan’daki bölgesel bir telekomünikasyon sağlayıcısını kullanmış ve Irak hükümetindeki yetkililere erişim geliştirmiş ve sürdürmüş.
ESET Research, BladedFeline’ın siber casusluk gayesiyle Irak Kürt Bölgesel İdaresi ve Irak hükümetlerini amaç aldığını; ve her iki kurumdaki üst seviye yetkililerin bilgisayarlarına stratejik erişim sağlamayı amaçladığını pahalandırıyor. Batılı ülkelerle olan diplomatik alakalar ve bölgedeki petrol rezervleri, İran’a bağlı tehdit aktörlerinin casusluk yapması ve potansiyel olarak manipüle etmesi için cazip bir gaye hâline getiriyor. Irak’ta bu tehdit aktörleri büyük olasılıkla ABD’nin ülkeyi işgali ve istilası sonrasında Batılı hükümetlerin tesirine karşı koymaya çalışmaktadır.
ESET Research, 2023 yılında BladedFeline’ın Shahmaran art kapısı ile Kürt diplomatik yetkilileri gaye aldığını keşfetmiş ve daha evvel ESET APT Activity raporlarında faaliyetlerini bildirmişti. Küme, Irak Kürt Bölgesel İdaresi’ndeki yetkilileri tehlikeye attığı 2017 yılından beri faal lakin ESET Research’ün izlediği OilRig’in tek alt kümesi değil. ESET, HEXANE yahut Storm-0133 olarak da bilinen Lyceum’u diğer bir OilRig alt kümesi olarak izliyor. Lyceum, hükümet ve lokal idare kuruluşları ile sıhhat alanındaki kuruluşlar da dahil olmak üzere çeşitli İsrail kuruluşlarını gaye almaya odaklanıyor.
ESET, BladedFeline’ın siber casusluk için tehlikeye atılmış kurban setine erişimi sürdürmek ve genişletmek hedefiyle implant geliştirmeye devam edeceğini iddia ediyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Dünya
Dünya
Genel
Genel
