برنامج AnvilEcho Infostealer
تم ربط جهات تهديد مدعومة من الدولة الإيرانية بحملات التصيد الاحتيالي التي تستهدف شخصية يهودية بارزة بدءًا من أواخر يوليو 2024. وكان هدف المهاجمين هو نشر أداة جديدة لجمع المعلومات الاستخباراتية تُعرف باسم AnvilEcho.
وقد حدد باحثو الأمن السيبراني هذا النشاط باسم TA453، وهي مجموعة معروفة أيضًا في مجتمع الأمن السيبراني بأسماء مختلفة، بما في ذلك APT42 (Mandiant)، وCharming Kitten (CrowdStrike)، وDamselfly (Symantec)، وMint Sandstorm (Microsoft)، وYellow Garuda (PwC).
حاول المهاجمون في البداية إنشاء اتصال مع الهدف من خلال بريد إلكتروني غير ضار لبناء علاقة ودية، بهدف إقناعه لاحقًا بالنقر فوق رابط تهديد.
جدول المحتويات
الجهات الفاعلة في مجال التهديد تنشر برامج ضارة غير معروفة سابقًا
هدفت سلسلة الهجوم إلى نشر مجموعة أدوات جديدة للبرامج الضارة تسمى BlackSmith، والتي بدورها قدمت حصان طروادة PowerShell المعروف باسم AnvilEcho.
يُعتقد أن TA453 مرتبط بالحرس الثوري الإسلامي الإيراني (IRGC)، حيث يقوم بحملات تصيد مستهدفة لتعزيز الأهداف السياسية والعسكرية للبلاد. تشير بيانات البحث إلى أن ما يقرب من 60% من الاستهداف الجغرافي لـ APT42 كان موجهًا إلى الولايات المتحدة وإسرائيل، مع أهداف إضافية بما في ذلك إيران والمملكة المتحدة
إن تكتيكات الهندسة الاجتماعية التي يتبعونها لا هوادة فيها ومقنعة. حيث ينتحل المهاجمون هوية المنظمات والصحفيين الشرعيين لجذب الضحايا المحتملين، وبناء الثقة تدريجيًا قبل إيقاعهم في فخ المستندات المحملة بالبرامج الضارة أو صفحات التصيد الاحتيالي المزيفة.
سلسلة التصيد الاحتيالي والهندسة الاجتماعية متعددة المراحل
في البداية، كان فريق APT42 يتواصل مع هدفه باستخدام تكتيك الهندسة الاجتماعية لترتيب اجتماع فيديو، مما أدى إلى توجيهه إلى صفحة مقصودة حيث طُلب منه تسجيل الدخول ثم تم توجيهه إلى صفحة تصيد. وتضمن نهج آخر إرسال مرفقات PDF شرعية كجزء من مخطط الهندسة الاجتماعية لبناء الثقة وتشجيع التفاعل على منصات مثل Signal أو Telegram أو WhatsApp.
بدأت أحدث الهجمات في 22 يوليو 2024، حيث تواصل الفاعل المهدد مع عناوين بريد إلكتروني متعددة مرتبطة بشخصية يهودية لم يتم الكشف عن اسمها. لقد انتحلوا صفة مدير الأبحاث في معهد دراسة الحرب (ISW) ودعوا الهدف للمشاركة كضيف في بودكاست.
وردًا على استفسار الهدف، ورد أن TA453 أرسل عنوان URL محميًا بكلمة مرور لبرنامج DocSend، والذي أدى إلى ملف نصي يحتوي على رابط إلى بودكاست شرعي تستضيفه ISW. تم إرسال رسائل البريد الإلكتروني الاحتيالية من نطاق understandingthewar.org، في محاولة لتقليد موقع ISW الفعلي (understandingwar.org).
يعتقد الباحثون أن استراتيجية TA453 كانت تتلخص في تعويد الهدف على النقر على الروابط وإدخال كلمات المرور، مما يزيد من احتمالية وقوعه ضحية لبرامج ضارة في المستقبل. وفي الرسائل اللاحقة، أرسل الفاعل المهدد عنوان URL لـ Google Drive يستضيف أرشيف ZIP ('Podcast Plan-2024.zip')، والذي يحتوي على ملف اختصار Windows (LNK) مصمم لنشر مجموعة أدوات BlackSmith.
AnvilEcho هو تهديد قوي لجمع البيانات
يعتبر AnvilEcho، الذي يتم تسليمه عبر مجموعة أدوات BlackSmith، خليفة محتملًا لزرعات PowerShell السابقة مثل CharmPower وGorjolEcho و POWERSTAR وPowerLess. كما تم تصميم BlackSmith لتقديم مستند إغراء كأداة تشتيت.
من الجدير بالذكر أن اسم "BlackSmith" كان مرتبطًا سابقًا بمكون لسرقة المتصفح تم تحديده من قبل خبراء أمن المعلومات في وقت سابق من هذا العام. تم ربط هذا المكون بحملة توزيع BASICSTAR، والتي تستهدف أفرادًا بارزين متورطين في شؤون الشرق الأوسط.
AnvilEcho هو حصان طروادة PowerShell متطور ذو وظائف واسعة النطاق، ويهدف في المقام الأول إلى جمع المعلومات واستخراج البيانات. وتتضمن ميزاته الرئيسية استطلاع النظام، والتقاط لقطات شاشة، وتنزيل الملفات عن بعد، وتحميل البيانات الحساسة عبر FTP وDropbox.
إن حملات التصيد التي تقوم بها مجموعة TA453 تتوافق باستمرار مع أولويات الاستخبارات في الحرس الثوري الإيراني. ويبدو أن نشر هذه البرامج الضارة التي تستهدف شخصية يهودية بارزة يشكل جزءًا من الجهود السيبرانية الأوسع التي تبذلها إيران ضد المصالح الإسرائيلية. ولا تزال مجموعة TA453 تشكل تهديدًا مستمرًا، حيث تركز على السياسيين والمدافعين عن حقوق الإنسان والمعارضين والأكاديميين.
