Các nhà nghiên cứu của ESET đã phát hiện một loạt công cụ độc hại được triển khai bởi BladedFeline, một nhóm tác nhân đe dọa dai dẳng cấp cao (APT) liên kết với Iran. Nhóm này đã nhắm mục tiêu vào các quan chức chính phủ Kurdistan và Iraq.
Hoạt động ít nhất từ năm 2017, BladedFeline được liên kết với mức độ tin cậy trung bình với nhóm APT OilRig khét tiếng, nổi tiếng với các hoạt động gián điệp mạng trên khắp Trung Đông. Chiến dịch mới nhất của nhóm, được phát hiện vào năm 2024, bao gồm backdoor Whisper và module IIS độc hại PrimeCache. Các công cụ này khai thác các máy chủ Microsoft Exchange và Dịch vụ Thông tin Internet (IIS) để duy trì quyền truy cập dai dẳng vào các hệ thống bị xâm nhập.
Chiến dịch này không chỉ làm nổi bật sự phát triển về năng lực kỹ thuật của BladedFeline mà còn nhấn mạnh tầm quan trọng chiến lược của các mục tiêu của chúng, bao gồm Chính phủ Khu vực Kurdistan (KRG), các quan chức chính phủ Iraq và một nhà cung cấp viễn thông ở Uzbekistan.
Phân tích kỹ thuật Backdoor Whisper
Backdoor Whisper hoạt động bằng cách xâm nhập các máy chủ Microsoft Exchange thông qua các tài khoản webmail bị xâm nhập. Nó sử dụng các tệp đính kèm email như một kênh bí mật để liên lạc command-and-control (C&C). Được viết bằng C#/.NET, Whisper tự động đăng nhập vào các tài khoản này và thiết lập các quy tắc hộp thư đến (inbox rules) để lọc các thư cụ thể, vốn chứa các lệnh từ kẻ tấn công. Điều này cho phép nó thực thi nhiều lệnh khác nhau, bao gồm thao tác tệp (file manipulation) và thực thi tập lệnh PowerShell. Kết quả của các lệnh này sau đó được truyền trở lại kẻ tấn công thông qua các tệp đính kèm được mã hóa. Cấu hình của Whisper được lưu trữ trong một tệp XML với các thông tin xác thực được mã hóa Base64, đảm bảo hoạt động liền mạch mà không cần sự can thiệp của người dùng.
Cơ chế hoạt động của Whisper dựa trên khả năng tương tác với Exchange Web Services (EWS) hoặc giao thức tương tự để:
- Truy cập hộp thư: Đăng nhập vào tài khoản email đã bị xâm phạm.
- Thiết lập quy tắc hộp thư đến: Tạo hoặc sửa đổi các quy tắc để tự động di chuyển, xóa hoặc đánh dấu các email cụ thể (chứa lệnh C&C) nhằm tránh bị người dùng phát hiện và để thực thi các lệnh.
- Giao tiếp C&C qua email: Gửi và nhận dữ liệu qua các tệp đính kèm được mã hóa, sử dụng email như một kênh truyền thông ẩn danh và khó bị phát hiện bởi các giải pháp an ninh mạng truyền thống.
Phân tích kỹ thuật Module IIS PrimeCache
Mặt khác, PrimeCache là một module IIS gốc đóng vai trò là một backdoor thụ động. Nó hoạt động bằng cách lọc các yêu cầu HTTP với các tiêu đề cookie cụ thể để xử lý các lệnh từ kẻ điều khiển. Không giống như các module IIS độc hại trước đây, PrimeCache chia nhỏ các hành động thành nhiều yêu cầu, lưu trữ các tham số trên toàn cục trước khi thực thi. Điều này giúp làm phức tạp quá trình phân tích và phát hiện. Giao tiếp C&C của nó sử dụng mã hóa RSA và AES-CBC để đảm bảo tính bảo mật và bí mật. Sự tương đồng giữa PrimeCache và backdoor RDAT của OilRig, bao gồm cấu trúc mã chia sẻ và việc sử dụng thư viện Crypto++, càng củng cố mối liên hệ giữa BladedFeline và OilRig.
Với tư cách là một module IIS, PrimeCache hoạt động ở cấp độ máy chủ web, cho phép nó:
- Giám sát lưu lượng HTTP: Theo dõi tất cả các yêu cầu đến máy chủ IIS.
- Lọc theo tiêu đề cookie: Chỉ phản hồi các yêu cầu chứa một tiêu đề cookie cụ thể, đóng vai trò như một “chìa khóa” bí mật để kích hoạt backdoor.
- Thực thi lệnh thụ động: Thực hiện các lệnh mà không chủ động gửi kết nối ra ngoài, mà thay vào đó chờ các yêu cầu được định dạng đặc biệt từ kẻ tấn công.
- Phân tán lệnh: Bằng cách chia nhỏ các hành động thành nhiều yêu cầu, PrimeCache làm cho việc tái cấu trúc các lệnh đầy đủ và hiểu mục đích của chúng trở nên khó khăn hơn đối với các nhà phân tích.
Chiến thuật Khai thác và Công cụ Lịch sử của BladedFeline
Theo các nhà nghiên cứu của ESET, phạm vi hoạt động của BladedFeline cho thấy một nỗ lực có tính toán nhằm duy trì quyền truy cập vào các mục tiêu giá trị cao. Kể từ năm 2017, nhóm này đã triển khai nhiều công cụ khác nhau như backdoor Shahmaran và các tunnel đảo ngược như Laret và Pinar trên các hệ thống của KRG. Ngoài ra, chúng cũng nhắm mục tiêu vào các quan chức Iraq với các công cụ được tải lên VirusTotal.
Các chiến thuật khai thác của chúng, có khả năng liên quan đến các lỗ hổng trong các máy chủ web kết nối internet, đã cho phép triển khai các webshell như Flog, củng cố chỗ đứng của chúng trong các mạng mục tiêu. Việc triển khai webshell là một phương pháp phổ biến để các tác nhân duy trì quyền truy cập liên tục, cho phép thực thi lệnh từ xa và quản lý tệp trên máy chủ web bị xâm nhập.
Mục tiêu và Động cơ Địa chính trị
Các động cơ địa chính trị của BladedFeline rất rõ ràng: Việc tiếp cận các mối quan hệ ngoại giao của KRG và cảnh quan chiến lược của Iraq sau khi Mỹ rút quân mang lại những cơ hội gián điệp đáng kể cho các tác nhân liên kết với Iran. Các cuộc tấn công này có thể nhằm mục đích thu thập thông tin tình báo, phá vỡ hoạt động hoặc thiết lập một chỗ đứng lâu dài trong các cơ quan chính phủ và cơ sở hạ tầng quan trọng.
Các chỉ số thỏa hiệp (IOCs)
Các công cụ và tác nhân sau đây có liên quan đến các chiến dịch của BladedFeline:
- Nhóm APT: BladedFeline, OilRig
- Malware/Backdoors: Whisper, PrimeCache, Shahmaran, RDAT, Slippery Snakelet
- Webshells: Flog
- Reverse Tunnels: Laret, Pinar
Sự phát triển liên tục của các loại mã độc của BladedFeline, được thể hiện qua các công cụ như Slippery Snakelet và các tiện ích bổ sung, cho thấy đây là một mối đe dọa dai dẳng đòi hỏi các biện pháp đối phó mạnh mẽ. Các tổ chức trong khu vực và những nơi khác cần duy trì cảnh giác cao độ và triển khai các chiến lược phòng thủ mạng toàn diện để chống lại các hoạt động của nhóm APT này.
