AnvilEcho Infostealer
Iranske statssponserede trusselsaktører er blevet sat i forbindelse med spear-phishing-kampagner rettet mod en fremtrædende jødisk skikkelse, der startede i slutningen af juli 2024. Angribernes mål var at implementere et nyt efterretningsindsamlingsværktøj kendt som AnvilEcho.
Cybersikkerhedsforskere har identificeret denne aktivitet som TA453, en gruppe, der også er kendt i cybersikkerhedssamfundet under forskellige navne, herunder APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) og Yellow Garuda (PwC) .
Angriberne forsøgte i første omgang at etablere kommunikation med målet gennem en harmløs e-mail for at opbygge en rapport, med den hensigt senere at overbevise dem om at klikke på et truende link.
Indholdsfortegnelse
Threat Actors implementerer tidligere ukendt malware
Angrebskæden havde til formål at implementere et nyt malware-værktøjssæt kaldet BlackSmith, som igen leverede en PowerShell Trojan kendt som AnvilEcho.
TA453 menes at være knyttet til Irans Islamiske Revolutionsgarde (IRGC), der udfører målrettede phishing-kampagner for at fremme landets politiske og militære mål. Forskningsdata viser, at cirka 60 % af APT42s geografiske målretning er rettet mod USA og Israel, med yderligere mål, herunder Iran og Storbritannien
Deres social engineering taktik er både ubarmhjertig og overbevisende. Angriberne udgiver sig for at være legitime organisationer og journalister for at engagere potentielle ofre, gradvist opbygge tillid, før de fanger dem med malware-ladede dokumenter eller falske phishing-sider.
Multi-stage Phishing og Social Engineering Chain
APT42 ville oprindeligt engagere deres mål ved hjælp af en social engineering-taktik til at arrangere et videomøde, hvilket førte dem til en landingsside, hvor de blev bedt om at logge ind og derefter dirigeret til en phishing-side. En anden tilgang involverede at sende legitime PDF-vedhæftninger som en del af en social engineering-ordning for at opbygge tillid og tilskynde til interaktion på platforme som Signal, Telegram eller WhatsApp.
De seneste angreb begyndte den 22. juli 2024, hvor trusselsaktøren nåede ud til flere e-mailadresser forbundet med en unavngiven jødisk figur. De udgav sig som forskningsdirektør for Institute for the Study of War (ISW) og inviterede målet til at deltage som gæst i en podcast.
Som svar på målets henvendelse er TA453 rapporteret at have sendt en adgangskodebeskyttet DocSend URL, som førte til en tekstfil, der indeholdt et link til en legitim ISW-hostet podcast. De svigagtige e-mails blev sendt fra domænet understandingthewar.org, et forsøg på at efterligne det faktiske ISW-websted (understandingwar.org).
Forskere mener, at TA453s strategi var at akklimatisere målet til at klikke på links og indtaste adgangskoder, hvilket gør dem mere tilbøjelige til at falde for fremtidige malware-leverancer. I efterfølgende meddelelser sendte trusselsaktøren en Google Drev-URL, der hostede et ZIP-arkiv ('Podcast Plan-2024.zip'), som indeholdt en Windows-genvejsfil (LNK) designet til at implementere BlackSmith-værktøjssættet.
AnvilEcho er en potent data-Harvesting-trussel
AnvilEcho, leveret via BlackSmith-værktøjssættet, betragtes som en sandsynlig efterfølger til tidligere PowerShell-implantater såsom CharmPower, GorjolEcho, POWERSTAR og PowerLess. BlackSmith er også designet til at præsentere et lokkedokument som en distraktion.
Det er bemærkelsesværdigt, at navnet 'BlackSmith' tidligere har været forbundet med en browser-tyverikomponent, der blev identificeret af infosec-eksperter tidligere på året. Denne komponent var knyttet til en kampagne, der distribuerede BASICSTAR, rettet mod højprofilerede personer involveret i mellemøstlige anliggender.
AnvilEcho er en sofistikeret PowerShell-trojan med omfattende funktionalitet, primært rettet mod efterretningsindsamling og dataeksfiltrering. Dens nøglefunktioner omfatter systemrekognoscering, at tage skærmbilleder, downloade fjernfiler og uploade følsomme data via FTP og Dropbox.
TA453's phishing-kampagner er konsekvent på linje med IRGC's efterretningsprioriteter. Denne særlige malware-implementering rettet mod en fremtrædende jødisk figur ser ud til at være en del af Irans bredere cyberindsats mod israelske interesser. TA453 er fortsat en vedvarende trussel med fokus på politikere, menneskerettighedsforkæmpere, dissidenter og akademikere.
