AnvilEcho Infostealer
2024 সালের জুলাইয়ের শেষের দিকে শুরু হওয়া একজন বিশিষ্ট ইহুদি ব্যক্তিত্বকে লক্ষ্য করে বর্শা-ফিশিং প্রচারাভিযানের সাথে ইরানের রাষ্ট্র-স্পন্সর করা হুমকি অভিনেতাদের যুক্ত করা হয়েছে। আক্রমণকারীদের লক্ষ্য ছিল AnvilEcho নামে পরিচিত একটি নতুন গোয়েন্দা তথ্য সংগ্রহের সরঞ্জাম স্থাপন করা।
সাইবারসিকিউরিটি গবেষকরা এই কার্যকলাপটিকে TA453 হিসাবে চিহ্নিত করেছেন, একটি গ্রুপ যা সাইবার নিরাপত্তা সম্প্রদায়ে বিভিন্ন নামেও পরিচিত, যার মধ্যে রয়েছে APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft), এবং Yellow Garuda (PwC) .
আক্রমণকারীরা প্রথমে একটি নিরীহ ইমেলের মাধ্যমে টার্গেটের সাথে যোগাযোগ স্থাপনের চেষ্টা করেছিল সম্পর্ক তৈরি করার জন্য, পরবর্তীতে একটি হুমকিমূলক লিঙ্কে ক্লিক করার জন্য তাদের বোঝানোর উদ্দেশ্যে।
সুচিপত্র
হুমকি অভিনেতা পূর্বে অজানা ম্যালওয়্যার স্থাপন
আক্রমণ শৃঙ্খলটির লক্ষ্য ছিল ব্ল্যাকস্মিথ নামে একটি নতুন ম্যালওয়্যার টুলকিট স্থাপন করা, যা একটি পাওয়ারশেল ট্রোজান প্রদান করে যা AnvilEcho নামে পরিচিত।
TA453 ইরানের ইসলামী বিপ্লবী গার্ড কর্পস (IRGC) এর সাথে যুক্ত বলে মনে করা হয়, দেশটির রাজনৈতিক এবং সামরিক উদ্দেশ্যগুলিকে এগিয়ে নিতে লক্ষ্যযুক্ত ফিশিং প্রচারাভিযান পরিচালনা করে৷ গবেষণা তথ্য ইঙ্গিত করে যে APT42 এর ভৌগলিক লক্ষ্যবস্তুর প্রায় 60% মার্কিন যুক্তরাষ্ট্র এবং ইস্রায়েলে নির্দেশিত হয়েছে, ইরান এবং যুক্তরাজ্য সহ অতিরিক্ত লক্ষ্যবস্তু।
তাদের সামাজিক প্রকৌশল কৌশল উভয়ই নিরলস এবং বিশ্বাসযোগ্য। আক্রমণকারীরা সম্ভাব্য শিকারদের জড়িত করার জন্য বৈধ সংস্থা এবং সাংবাদিকদের ছদ্মবেশী করে, ম্যালওয়্যার-ভরা নথি বা জাল শংসাপত্র ফিশিং পৃষ্ঠাগুলির সাথে তাদের ফাঁদে ফেলার আগে ধীরে ধীরে বিশ্বাস তৈরি করে।
মাল্টি-স্টেজ ফিশিং এবং সোশ্যাল ইঞ্জিনিয়ারিং চেইন
APT42 প্রাথমিকভাবে একটি ভিডিও মিটিংয়ের ব্যবস্থা করার জন্য একটি সামাজিক প্রকৌশল কৌশল ব্যবহার করে তাদের লক্ষ্যকে নিযুক্ত করবে, তাদের একটি ল্যান্ডিং পৃষ্ঠায় নিয়ে যাবে যেখানে তাদের লগ ইন করার জন্য অনুরোধ করা হয়েছিল এবং তারপরে একটি ফিশিং পৃষ্ঠায় নির্দেশিত হবে৷ সিগন্যাল, টেলিগ্রাম বা হোয়াটসঅ্যাপ-এর মতো প্ল্যাটফর্মে বিশ্বাস তৈরি করতে এবং মিথস্ক্রিয়াকে উত্সাহিত করার জন্য একটি সামাজিক প্রকৌশল প্রকল্পের অংশ হিসাবে বৈধ পিডিএফ সংযুক্তি পাঠানোর আরেকটি পদ্ধতি জড়িত।
সবচেয়ে সাম্প্রতিক আক্রমণগুলি 22 জুলাই, 2024-এ শুরু হয়েছিল, হুমকি অভিনেতা একটি নামহীন ইহুদি ব্যক্তিত্বের সাথে যুক্ত একাধিক ইমেল ঠিকানায় পৌঁছানোর মাধ্যমে। তারা ইনস্টিটিউট ফর দ্য স্টাডি অফ ওয়ার (ISW) এর গবেষণা পরিচালক হিসাবে জাহির করেছে এবং লক্ষ্যকে একটি পডকাস্টে অতিথি হিসাবে অংশগ্রহণের জন্য আমন্ত্রণ জানিয়েছে।
টার্গেটের অনুসন্ধানের জবাবে, TA453 একটি পাসওয়ার্ড-সুরক্ষিত ডকসেন্ড ইউআরএল পাঠিয়েছে বলে জানা গেছে, যা একটি বৈধ ISW-হোস্ট করা পডকাস্টের লিঙ্ক সহ একটি পাঠ্য ফাইলের দিকে নিয়ে গেছে। প্রতারণামূলক ইমেলগুলি ডোমেন understandingthewar.org থেকে পাঠানো হয়েছিল, একটি প্রকৃত ISW ওয়েবসাইট (understandingwar.org) নকল করার চেষ্টা৷
গবেষকরা বিশ্বাস করেন যে TA453 এর কৌশলটি ছিল লিঙ্কগুলিতে ক্লিক করা এবং পাসওয়ার্ড প্রবেশের লক্ষ্যে অভিযোজিত করা, যাতে ভবিষ্যতে ম্যালওয়্যার সরবরাহের জন্য তাদের পড়ার সম্ভাবনা বেশি থাকে। পরবর্তী বার্তাগুলিতে, হুমকি অভিনেতা একটি জিপ সংরক্ষণাগার ('Podcast Plan-2024.zip') হোস্ট করে একটি Google ড্রাইভ URL পাঠিয়েছিলেন, যাতে ব্ল্যাকস্মিথ টুলকিট স্থাপনের জন্য ডিজাইন করা একটি উইন্ডোজ শর্টকাট (LNK) ফাইল রয়েছে৷
AnvilEcho একটি শক্তিশালী ডেটা-হার্ভেস্টিং থ্রেট
AnvilEcho, ব্ল্যাকস্মিথ টুলকিটের মাধ্যমে বিতরণ করা হয়, এটিকে আগের পাওয়ারশেল ইমপ্লান্ট যেমন চার্মপাওয়ার, গর্জলইকো, পাওয়ারস্টার এবং পাওয়ারলেস-এর সম্ভাব্য উত্তরসূরি হিসেবে বিবেচনা করা হয়। ব্ল্যাকস্মিথ একটি বিভ্রান্তি হিসাবে একটি প্রলোভন নথি উপস্থাপন করার জন্য ডিজাইন করা হয়েছে।
এটি লক্ষণীয় যে 'ব্ল্যাকস্মিথ' নামটি আগে এই বছরের শুরুতে ইনফোসেক বিশেষজ্ঞদের দ্বারা চিহ্নিত একটি ব্রাউজার স্টিলার উপাদানের সাথে যুক্ত ছিল। এই উপাদানটি মধ্যপ্রাচ্য বিষয়ক উচ্চ-প্রোফাইল ব্যক্তিদের লক্ষ্য করে BASICSTAR বিতরণকারী একটি প্রচারণার সাথে যুক্ত ছিল।
AnvilEcho হল একটি অত্যাধুনিক PowerShell ট্রোজান যার ব্যাপক কার্যকারিতা রয়েছে, প্রাথমিকভাবে বুদ্ধিমত্তা সংগ্রহ এবং ডেটা এক্সফিল্ট্রেশনের লক্ষ্য। এর মূল বৈশিষ্ট্যগুলির মধ্যে রয়েছে সিস্টেম রিকনেসান্স, স্ক্রিনশট নেওয়া, দূরবর্তী ফাইল ডাউনলোড করা এবং FTP এবং ড্রপবক্সের মাধ্যমে সংবেদনশীল ডেটা আপলোড করা।
TA453-এর ফিশিং প্রচারাভিযানগুলো ধারাবাহিকভাবে IRGC-এর গোয়েন্দা অগ্রাধিকারের সাথে সামঞ্জস্যপূর্ণ। একজন বিশিষ্ট ইহুদি ব্যক্তিত্বকে লক্ষ্য করে এই বিশেষ ম্যালওয়্যার স্থাপনা ইসরায়েলি স্বার্থের বিরুদ্ধে ইরানের বৃহত্তর সাইবার প্রচেষ্টার অংশ বলে মনে হচ্ছে। TA453 রাজনীতিবিদ, মানবাধিকার রক্ষক, ভিন্নমতাবলম্বী এবং শিক্ষাবিদদের উপর দৃষ্টি নিবদ্ধ করে একটি অবিরাম হুমকি রয়ে গেছে।
