AnvilEcho Infostealer
Els actors d'amenaça patrocinats per l'estat iranià s'han relacionat amb campanyes de pesca amb lanza dirigides a una figura jueva destacada a partir de finals de juliol de 2024. L'objectiu dels atacants era desplegar una nova eina de recollida d'intel·ligència coneguda com AnvilEcho.
Els investigadors de ciberseguretat han identificat aquesta activitat com a TA453, un grup també conegut a la comunitat de ciberseguretat amb diversos noms, com ara APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) i Yellow Garuda (PwC). .
Els atacants van intentar inicialment establir comunicació amb l'objectiu a través d'un correu electrònic inofensiu per establir una relació, amb la intenció de convèncer-los després de fer clic a un enllaç amenaçador.
Taula de continguts
Els actors d'amenaça despleguen programari maliciós desconegut anteriorment
La cadena d'atac tenia com a objectiu desplegar un nou conjunt d'eines de programari maliciós anomenat BlackSmith, que al seu torn va lliurar un troià PowerShell conegut com AnvilEcho.
Es creu que TA453 està vinculat al Cos de la Guàrdia Revolucionària Islàmica (IRGC) de l'Iran, que porta a terme campanyes de pesca dirigides per afavorir els objectius polítics i militars del país. Les dades de la investigació indiquen que aproximadament el 60% de l'orientació geogràfica d'APT42 s'ha dirigit als EUA i Israel, amb objectius addicionals com l'Iran i el Regne Unit.
Les seves tàctiques d'enginyeria social són implacables i convincents. Els atacants es fan passar per organitzacions i periodistes legítims per involucrar víctimes potencials, creant gradualment confiança abans d'atrapar-los amb documents carregats de programari maliciós o pàgines de credencials falses de pesca.
Cadena d'enginyeria social i pesca multietapa
APT42 inicialment involucraria el seu objectiu mitjançant una tàctica d'enginyeria social per organitzar una reunió de vídeo, que els conduïa a una pàgina de destinació on se'ls demanava que iniciessin sessió i després se'ls dirigia a una pàgina de pesca. Un altre enfocament consistia a enviar fitxers adjunts legítims en PDF com a part d'un esquema d'enginyeria social per generar confiança i fomentar la interacció en plataformes com Signal, Telegram o WhatsApp.
Els atacs més recents van començar el 22 de juliol de 2024, amb l'actor d'amenaça que va arribar a diverses adreces de correu electrònic associades a una figura jueva sense nom. Es van fer passar com a director de recerca de l'Institut per a l'Estudi de la Guerra (ISW) i van convidar l'objectiu a participar com a convidat en un podcast.
En resposta a la consulta de l'objectiu, s'informa que TA453 ha enviat un URL DocSend protegit amb contrasenya, que ha donat lloc a un fitxer de text que conté un enllaç a un podcast legítim allotjat per ISW. Els correus electrònics fraudulents es van enviar des del domini understandingthewar.org, un intent d'imitar el lloc web real d'ISW (understandingwar.org).
Els investigadors creuen que l'estratègia de TA453 era aclimatar l'objectiu a fer clic als enllaços i introduir contrasenyes, fent-los més propensos a caure en futurs lliuraments de programari maliciós. En missatges posteriors, l'actor de l'amenaça va enviar un URL de Google Drive que allotjava un arxiu ZIP ("Podcast Plan-2024.zip"), que contenia un fitxer de drecera de Windows (LNK) dissenyat per desplegar el conjunt d'eines BlackSmith.
AnvilEcho és una potent amenaça de recollida de dades
AnvilEcho, lliurat a través del conjunt d'eines BlackSmith, es considera un successor probable dels implants anteriors de PowerShell com CharmPower, GorjolEcho, POWERSTAR i PowerLess. BlackSmith també està dissenyat per presentar un document d'esquer com una distracció.
Cal destacar que el nom "BlackSmith" s'ha associat prèviament amb un component robador de navegador identificat per experts en infosec a principis d'aquest any. Aquest component estava vinculat a una campanya de distribució de BASICSTAR, dirigida a persones destacades implicades en els afers de l'Orient Mitjà.
AnvilEcho és un troià PowerShell sofisticat amb una àmplia funcionalitat, principalment dirigit a la recollida d'intel·ligència i l'exfiltració de dades. Les seves característiques principals inclouen el reconeixement del sistema, la presa de captures de pantalla, la descàrrega de fitxers remots i la càrrega de dades sensibles mitjançant FTP i Dropbox.
Les campanyes de pesca de TA453 s'alineen constantment amb les prioritats d'intel·ligència de l'IRGC. Aquest desplegament de programari maliciós en particular dirigit a una figura jueva destacada sembla formar part dels esforços cibernètics més amplis de l'Iran contra els interessos israelians. El TA453 continua sent una amenaça persistent, centrada en polítics, defensors dels drets humans, dissidents i acadèmics.
