网络间谍活动针对伊拉克和库尔德官员使用复杂恶意软件

ESET的安全研究人员发现了一个复杂的网络间谍活动，代号"BladedFeline"，该活动针对伊拉克和库尔德的高级官员。该行动利用了三款恶意工具——Whisper、PrimeCache和先前已识别的后门程序Shahmaran——通过受感染的网页邮箱账户获取并维持对官员计算机系统的未授权访问。

BladedFeline活动展示了一个令人担忧的趋势：针对该地区政府和外交实体的定向攻击，凸显了威胁行为者进行网络间谍活动的持续努力。根据ESET的研究，攻击者使用精心制作的电子邮件附件最初入侵网页邮箱账户。这一初始访问随后为部署Whisper铺平了道路，Whisper是一款定制的恶意工具，旨在进一步渗透受感染系统。

Whisper的功能包括窃取敏感信息和可能执行进一步的恶意命令，有效地为攻击者在受害者数字环境中提供了立足点。与Whisper相辅相成的是PrimeCache，这是一个后门Internet信息服务（IIS）模块。IIS是一种流行的Web服务器软件，PrimeCache作为持久性后门运行，允许攻击者保持对目标服务器的隐蔽访问。ESET研究人员指出PrimeCache与先前已知的后门RDAT之间存在相似之处，表明威胁行为者之间可能存在联系或共享开发实践。

BladedFeline活动的发现也揭示了Shahmaran后门的持续使用。这款恶意软件先前与专门针对库尔德外交官员的攻击有关，表明对库尔德事务相关情报收集的持续兴趣。Shahmaran在这次针对伊拉克和库尔德官员的更广泛活动中重新出现，突显了这些网络威胁的持续性以及威胁行为者对既有恶意工具的重复使用。

BladedFeline活动的主要目标似乎是网络间谍活动，攻击者旨在长期访问高级官员的计算机。这种级别的访问可能使得窃取敏感的政府信息、外交通信、战略计划和其他机密数据成为可能。使用网页邮箱作为初始攻击向量强调了强大电子邮件安全实践的重要性，即使对于高知名度个人也是如此。

对该地区的影响

这一发现对伊拉克和库尔德地区政府实体的安全态势具有重大影响。所使用工具的复杂性，包括像Whisper这样的定制恶意软件和IIS后门PrimeCache，表明威胁行为者资源充足且技术能力强。对高级官员的持续针对突显了加强网络安全措施的迫切需要，包括：

• 加强电子邮件安全：实施高级电子邮件过滤、反网络钓鱼措施和用户意识培训，以防止通过恶意附件初始入侵。
• 端点检测与响应（EDR）解决方案：部署能够检测和响应像Whisper这样复杂恶意软件的强大EDR解决方案。
• Web服务器安全加固：实施保护IIS Web服务器的最佳实践，以防止安装像PrimeCache这样的后门。
• 定期安全审计：进行定期安全审计和渗透测试，以识别和解决潜在漏洞。
• 情报共享：促进政府机构和网络安全研究人员之间更广泛的情报共享与合作，以跟踪和缓解此类威胁。

BladedFeline活动作为一个严峻的提醒，表明中东地区面临的持续网络威胁，以及采取主动和分层安全防御以保护敏感信息和关键基础设施的至关重要性。伊拉克和库尔德地区的当局需要根据这些发现迅速采取行动，加强其网络安全韧性，以应对此类复杂的网络间谍活动。