AnvilEcho Infostealer
Ирански държавно спонсорирани заплахи са свързани с фишинг кампании, насочени към видна еврейска фигура, започващи в края на юли 2024 г. Целта на нападателите е била да разположат нов инструмент за събиране на разузнавателна информация, известен като AnvilEcho.
Изследователите по киберсигурност са идентифицирали тази дейност като TA453, група, известна също в общността за киберсигурност с различни имена, включително APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) и Yellow Garuda (PwC). .
Нападателите първоначално се опитаха да установят комуникация с целта чрез безвреден имейл, за да изградят връзка, с намерението по-късно да ги убедят да кликнат върху заплашителна връзка.
Съдържание
Актьорите на заплахи внедряват неизвестен досега зловреден софтуер
Веригата от атаки имаше за цел да внедри нов инструментариум за зловреден софтуер, наречен BlackSmith, който от своя страна доставя троянски кон PowerShell, известен като AnvilEcho.
Смята се, че TA453 е свързан с Корпуса на гвардейците на ислямската революция (IRGC) на Иран, като провежда целенасочени фишинг кампании за постигане на политически и военни цели на страната. Данните от изследванията показват, че приблизително 60% от географското насочване на APT42 е насочено към САЩ и Израел, с допълнителни цели, включително Иран и Обединеното кралство
Техните тактики на социално инженерство са едновременно безмилостни и убедителни. Нападателите се представят за легитимни организации и журналисти, за да ангажират потенциални жертви, като постепенно изграждат доверие, преди да ги хванат в капан с документи, натоварени със зловреден софтуер или фалшиви фишинг страници с идентификационни данни.
Многоетапна верига за фишинг и социално инженерство
APT42 първоначално би ангажирал своята цел, използвайки тактика за социално инженерство, за да организира видео среща, водеща ги до целева страница, където бяха подканени да влязат и след това насочени към фишинг страница. Друг подход включваше изпращане на легитимни PDF прикачени файлове като част от схема за социално инженерство за изграждане на доверие и насърчаване на взаимодействието на платформи като Signal, Telegram или WhatsApp.
Последните атаки започнаха на 22 юли 2024 г., като заплахата се свърза с множество имейл адреси, свързани с неназована еврейска фигура. Те се представиха за изследователски директор на Института за изследване на войната (ISW) и поканиха целта да участва като гост в подкаст.
В отговор на запитването на целта се съобщава, че TA453 е изпратил защитен с парола URL адрес на DocSend, който е довел до текстов файл, съдържащ връзка към легитимен подкаст, хостван от ISW. Измамните имейли са изпратени от домейна understandingthewar.org, опит за имитиране на действителния уебсайт на ISW (understandingwar.org).
Изследователите смятат, че стратегията на TA453 е била да аклиматизира целта към щракване върху връзки и въвеждане на пароли, което ги прави по-вероятно да попаднат на бъдещи доставки на зловреден софтуер. В следващите съобщения заплахата изпрати URL адрес на Google Drive, хостващ ZIP архив („Podcast Plan-2024.zip“), който съдържа Windows пряк път (LNK) файл, предназначен за внедряване на инструментариума BlackSmith.
AnvilEcho е мощна заплаха за събиране на данни
AnvilEcho, доставен чрез инструментариума BlackSmith, се счита за вероятен наследник на предишни импланти на PowerShell като CharmPower, GorjolEcho, POWERSTAR и PowerLess. BlackSmith също е проектиран да представя документ за примамка като разсейване.
Трябва да се отбележи, че името „BlackSmith“ преди това е било свързвано с компонент за кражба на браузър, идентифициран от експертите по информационна сигурност по-рано тази година. Този компонент беше свързан с кампания за разпространение на BASICSTAR, насочена към високопоставени лица, замесени в делата на Близкия изток.
AnvilEcho е усъвършенстван троянски кон PowerShell с широка функционалност, насочен основно към събиране на разузнавателна информация и ексфилтрация на данни. Основните му функции включват разузнаване на системата, правене на екранни снимки, изтегляне на отдалечени файлове и качване на чувствителни данни чрез FTP и Dropbox.
Фишинг кампаниите на TA453 последователно са в съответствие с приоритетите на разузнаването на IRGC. Това конкретно внедряване на зловреден софтуер, насочен към видна еврейска фигура, изглежда е част от по-широките кибер усилия на Иран срещу израелските интереси. TA453 остава постоянна заплаха, като се фокусира върху политици, защитници на правата на човека, дисиденти и академици.
