高级恶意软件"BladedFeline"网络间谍活动瞄准伊拉克和库尔德官员

ESET安全研究人员发现了一项复杂的网络间谍活动，代号"BladedFeline"，该活动针对伊拉克和库尔德高级官员。该行动利用了三种恶意工具——Whisper、PrimeCache和先前已识别的后门Shahmaran——主要通过入侵的网页邮箱账户获取并维持对官员计算机系统的未授权访问。

BladedFeline活动展示了一个令人担忧的趋势：针对该地区政府和外交实体的定向攻击，突显了威胁行为者进行网络间谍活动的持续努力。根据ESET的研究，攻击者使用精心制作的电子邮件附件初步入侵网页邮箱账户。这种初始访问随后为部署Whisper铺平了道路，Whisper是一种旨在进一步渗透受入侵系统的定制恶意工具。

Whisper的功能包括窃取敏感信息和可能执行进一步的恶意命令，有效地为攻击者在受害者数字环境中提供了立足点。与Whisper相辅相成的是PrimeCache，一个后门Internet信息服务（IIS）模块。IIS是一种流行的Web服务器软件，PrimeCache作为持久性后门运行，允许攻击者保持对目标服务器的隐蔽访问。ESET研究人员指出PrimeCache与先前已知的后门RDAT之间存在相似之处，表明威胁行为者之间可能存在联系或共享开发实践。

BladedFeline活动的发现也揭示了Shahmaran后门的持续使用。这种特定的恶意软件先前与专门针对库尔德外交官员的攻击有关，表明对库尔德事务相关情报收集的持续兴趣。Shahmaran在这次针对伊拉克和库尔德官员的更广泛活动中重新出现，突显了这些网络威胁的持续性以及威胁行为者对已建立恶意工具的重复使用。

BladedFeline活动的主要目标似乎是网络间谍活动，攻击者旨在长期访问高级官员的计算机。这种访问级别可能使攻击者能够窃取敏感的政府信息、外交通信、战略计划和其他机密数据。使用网页邮箱作为初始攻击向量强调了强大电子邮件安全实践的重要性，即使对于高知名度个人也是如此。

对该地区的影响

这一发现对伊拉克和库尔德地区政府实体的安全态势具有重大影响。所使用的工具的复杂性，包括像Whisper这样的定制恶意软件和IIS后门PrimeCache，表明威胁行为者资源充足且技术能力强。对高级官员的持续针对突显了加强网络安全措施的迫切需要，包括：

• 加强电子邮件安全：实施高级电子邮件过滤、反网络钓鱼措施和用户意识培训，以防止通过恶意附件进行初始入侵。
• 端点检测和响应（EDR）解决方案：部署能够检测和响应像Whisper这样的复杂恶意软件的强大EDR解决方案。
• Web服务器安全加固：实施保护IIS Web服务器的最佳实践，以防止安装像PrimeCache这样的后门。
• 定期安全审计：进行定期安全审计和渗透测试，以识别和解决潜在漏洞。
• 情报共享：促进政府机构和网络安全研究人员之间更大的情报共享和协作，以跟踪和缓解此类威胁。

BladedFeline活动是一个鲜明的提醒，提醒中东地区面临的持续网络威胁，以及主动和分层安全防御对于保护敏感信息和关键基础设施的至关重要性。伊拉克和库尔德地区的当局需要根据这些发现迅速采取行动，以增强其网络安全韧性，抵御此类复杂的网络间谍活动。