Главная страница » Индикаторы компрометации
0
9 часов
Индикаторы компрометации

Иранская хакерская группа BladedFeline атакует правительственные структуры Курдистана и Ирака

APT

ESET Research обнаружила новую кибершпионскую кампанию, проводимую иранской APT-группой BladedFeline, которая, вероятно, связана с известной группировкой OilRig. Атаки направлены на высокопоставленных чиновников Курдского регионального правительства (KRG) и правительства Ирака (GOI), а также на телекоммуникационную компанию в Узбекистане.

Описание

BladedFeline активно действует с 2017 года, но была идентифицирована только в 2023-м, когда использовала бэкдор Shahmaran против курдских дипломатов. С тех пор группировка расширила арсенал вредоносных инструментов, включая новые бэкдоры Whisper и PrimeCache, а также туннели Laret и Pinar.

Whisper - это бэкдор, который использует скомпрометированные учётные записи Microsoft Exchange для скрытой коммуникации через вложения электронных писем. PrimeCache представляет собой вредоносный модуль IIS, схожий с инструментами OilRig, что подтверждает связь между группировками.

Анализ кода показал, что BladedFeline, вероятно, является подгруппой OilRig, наряду с другой известной группировкой - Lyceum. Обе группы действуют в интересах Ирана, но фокусируются на разных целях: BladedFeline атакует Курдистан и Ирак, а Lyceum - израильские организации.

Кампания демонстрирует высокий уровень профессионализма: злоумышленники используют сложные методы обфускации, туннелирование трафика и многоступенчатые цепочки заражения для поддержания доступа к системам жертв. По данным ESET, атаки носят шпионский характер и направлены на сбор стратегической информации.

Эксперты отмечают, что активность иранских APT-групп в регионе продолжает расти, а их инструменты становятся всё более изощрёнными. Рекомендуется усилить мониторинг сетевой активности, особенно в государственных и телекоммуникационных организациях, чтобы предотвратить подобные атаки.

Индикаторы компрометации

IPv4

  • 178.209.51.61
  • 185.76.78.177

SHA1

  • 01b99ff47ec6394753f9ccdd2d43b3e804f9ee36
  • 1c757accbc2755e83e530dda11b3f81007325e67
  • 272cf34e8db2078a3170cf0e54255d89785e3c50
  • 37859e94086ec47b3665328e9c9baf665cb869f6
  • 3d21e1c9dfba38ec6997ae6e426df9291f89762a
  • 4954e8ace23b48ec55f1ff3a47033351e9fa2d6c
  • 562e1678ec8fdc1d83a3f73eb511a6dda08f3b3d
  • 66bd8db40f4169c7f0fca3d5d15c978efe143cf8
  • 6973d3ff8852a3292380b07858d43d0b80c0616e
  • 73d0faa475c6e489b2c5c95bb51dede4719d199e
  • b8afc21ef2aa854896b97f1c81b376dcdde2466d
  • bb4ffcdbfad40125080c13fa4917a1e836a8d101
  • be0ad25b7b48347984908175404996531cfd74b7
  • e8e6e6afef3f574c1f5228bdb28abb34f8a0d09a
  • f28d8c5c2283019e6ed788d20240abc8554cadb5
Комментарии: 0
Похожие записи
0
58 минут
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
2 часа
Индикаторы компрометации

Operation Sindoor: Киберштурм на критическую инфраструктуру Индии

APT
Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки
0
2 часа
Индикаторы компрометации

Китайская телекоммуникационная отрасль под атакой: вредоносные программы VELETRIX и VShell в рамках операции DRAGONCLONE

APT
Специалисты Seqrite Labs APT-Team обнаружили целевую кампанию против китайской телекоммуникационной отрасли, в частности против China Mobile Tietong Co., Ltd. - дочерней компании China Mobile, одного из крупнейших операторов связи в Китае.
0
4 часа
Индикаторы компрометации

Китай обвиняет Тайвань в организации кибератак при поддержке США

APT
Китайские власти обвинили власти Тайваня, представленные Демократической прогрессивной партией (ДПП), в организации серии сложных кибератак через группы Advanced Persistent Threat (APT).