Infostealer AnvilEcho
Aktéři hrozeb sponzorovaní íránským státem byli spojováni s phishingovými kampaněmi zaměřenými na prominentní židovskou osobnost, které začaly koncem července 2024. Cílem útočníků bylo nasadit nový nástroj pro shromažďování zpravodajských informací známý jako AnvilEcho.
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali tuto aktivitu jako TA453, skupinu také známou v komunitě kybernetické bezpečnosti pod různými názvy, včetně APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) a Yellow Garuda (PwC). .
Útočníci se nejprve pokusili navázat komunikaci s cílem prostřednictvím neškodného e-mailu, aby si vybudovali vztah, se záměrem později je přesvědčit, aby klikli na výhružný odkaz.
Obsah
Aktéři hrozeb nasazují dosud neznámý malware
Útokový řetězec měl za cíl nasadit novou sadu malwarových nástrojů s názvem BlackSmith, která zase přinesla trojského koně PowerShell známého jako AnvilEcho.
Předpokládá se, že TA453 je napojena na íránské islámské revoluční gardy (IRGC), které provádějí cílené phishingové kampaně na podporu politických a vojenských cílů země. Údaje z výzkumu naznačují, že přibližně 60 % geografického cílení APT42 bylo zaměřeno na USA a Izrael, přičemž další cíle zahrnují Írán a Spojené království.
Jejich taktika sociálního inženýrství je neúprosná a přesvědčivá. Útočníci se vydávají za legitimní organizace a novináře, aby zapojili potenciální oběti, postupně si budují důvěru, než je uvězní pomocí dokumentů s malwarem nebo falešných phishingových stránek.
Vícefázový řetězec phishingu a sociálního inženýrství
APT42 nejprve zapojí svůj cíl pomocí taktiky sociálního inženýrství, aby uspořádal videokonferenci, dovedl je na vstupní stránku, kde byli vyzváni k přihlášení a poté přesměrováni na phishingovou stránku. Další přístup zahrnoval zasílání legitimních příloh PDF jako součást schématu sociálního inženýrství k vybudování důvěry a podpoře interakce na platformách jako Signal, Telegram nebo WhatsApp.
Nejnovější útoky začaly 22. července 2024, kdy se aktér hrozby obrátil na několik e-mailových adres spojených s nejmenovanou židovskou postavou. Vystupovali jako ředitel výzkumu Institutu pro studium války (ISW) a pozvali cíl, aby se zúčastnil jako host na podcastu.
V reakci na dotaz cíle TA453 údajně odeslal heslem chráněnou URL DocSend, což vedlo k textovému souboru obsahujícímu odkaz na legitimní podcast hostovaný ISW. Podvodné e-maily byly odeslány z domény chápání thewar.org, pokus napodobit skutečnou webovou stránku ISW (understandingwar.org).
Výzkumníci se domnívají, že strategií TA453 bylo aklimatizovat cíl na klikání na odkazy a zadávání hesel, takže je pravděpodobnější, že budou padat na budoucí dodávky malwaru. V následujících zprávách aktér hrozby odeslal adresu URL Disku Google hostující archiv ZIP („Podcast Plan-2024.zip“), který obsahoval soubor zástupce systému Windows (LNK) určený k nasazení sady nástrojů BlackSmith.
AnvilEcho je silná hrozba pro sběr dat
AnvilEcho, dodávaný prostřednictvím sady nástrojů BlackSmith, je považován za pravděpodobného nástupce předchozích implantátů PowerShell, jako jsou CharmPower, GorjolEcho, POWERSTAR a PowerLess. BlackSmith je také navržen tak, aby prezentoval návnadový dokument jako rozptýlení.
Je pozoruhodné, že jméno 'BlackSmith' bylo dříve spojeno s komponentou zloděje prohlížeče, kterou odborníci z Infosec identifikovali na začátku tohoto roku. Tato součást byla spojena s kampaní distribuující BASICSTAR, zaměřenou na vysoce postavené osoby zapojené do záležitostí Blízkého východu.
AnvilEcho je sofistikovaný trojan PowerShell s rozsáhlou funkčností, primárně zaměřený na sběr informací a exfiltraci dat. Mezi jeho klíčové funkce patří průzkum systému, pořizování snímků obrazovky, stahování vzdálených souborů a nahrávání citlivých dat přes FTP a Dropbox.
Phishingové kampaně TA453 jsou konzistentně v souladu se zpravodajskými prioritami IRGC. Toto konkrétní rozmístění malwaru zaměřené na prominentní židovskou osobnost se zdá být součástí širšího kybernetického úsilí Íránu proti izraelským zájmům. TA453 zůstává trvalou hrozbou a zaměřuje se na politiky, obránce lidských práv, disidenty a akademiky.
