伊朗背景APT持续渗透中东政府网络
BladedFeline 最早于 2023年因对库尔德外交官部署 Shahmaran 后门而被安全研究人员注意。但后续分析显示,其攻击活动至少从 2017年就已开始,最初目标为库尔德自治区政府(KRG)官员。
该组织名称反映其对地区政府目标的持续关注与伊朗国家战略之间的关联。
ESET 研究人员基于 工具代码相似性(与 OilRig 的 RDAT 后门高度重合)、攻击目标重叠、以及 攻击基础设施一致性,中等置信度认为 BladedFeline 是著名伊朗 APT 组织 OilRig(APT34 / Hazel Sandstorm)的子组。
Whisper:基于邮件的隐蔽后门通信机制
Whisper 后门的最大特点是其 非传统 C2 通信方式——不通过常规网络协议,而是通过登录被攻陷的 Exchange Webmail 账户,利用 邮件附件实现命令控制。
恶意程序会设置收件箱规则自动处理含命令的邮件,执行后再通过加密附件将结果发回。
整个通信过程涉及以下七个步骤:
-
获取目标邮箱访问权限;
-
设置自动处理规则;
-
定期发送检查邮件;
-
从附件中提取并解密攻击者下发的命令;
-
执行命令(包括 PowerShell 脚本、文件传输、主机探测等);
-
加密执行结果;
-
通过邮件附件返回结果。
该后门具备 强持久性 和 极高隐蔽性,对基于流量分析的检测机制构成挑战。
PrimeCache:伪装成IIS模块的被动后门
PrimeCache 是一种以 本地IIS模块形式实现的被动后门,允许攻击者持续访问被控服务器,而无需主动发送流量指令。
它仅处理包含特定 Cookie 的 HTTP 请求,利用该机制进行“身份识别”。
与传统后门一次性命令-响应方式不同,PrimeCache 采用 参数分包 + 触发执行 的分布式命令策略:
-
攻击者首先以多个 HTTP 请求分别提交命令参数,缓存在服务器内存中;
-
最后通过单独请求触发命令执行;
-
利用 RSA + AES 混合加密保障通信安全;
-
指令通过 Cookie 发送,结果嵌入 HTTP 响应体返回。
此方式有效规避了异常流量检测规则,具备极强的规避能力。
该模块支持:远程命令执行、文件上传与下载、系统侦察与信息搜集。
攻击时间线与受害者概况
BladedFeline 的活动时间跨度覆盖 2017至2024年,显示出其攻击工具链不断演化。
早期使用简单的反弹 Shell,后期发展为复杂的邮件与 Web 后门,始终保持对多个受害者网络的持续控制。
受害目标包括:库尔德自治区政府高层官员、伊拉克政府机构、乌兹别克斯坦某地区电信服务商攻击目标高度集中于外交与政府部门,表明其行动目的以情报收集为主,服务于伊朗国家战略利益。
趋势研判:APT攻击趋向合法基础设施隐藏C2
此次行动体现出伊朗国家支持的网络攻击组织正在朝着 更加隐蔽、结构复杂、通信手段合法化 的方向演化。
特别是对 Microsoft Exchange 的合法邮件功能用于 C2 通信 的创新应用,使得传统检测手段难以察觉此类隐蔽通道。这类以“合法外壳”包裹攻击内核的 APT 战术,已成为当前最具挑战性的威胁演进方向之一。
发表评论
您还未登录,请先登录。
登录