AnvilEcho Infostealer
Φορείς απειλών που χρηματοδοτούνται από το Ιράν έχουν συνδεθεί με εκστρατείες ψαρέματος με δόρυ που στοχεύουν σε μια εξέχουσα εβραϊκή προσωπικότητα που ξεκινούν στα τέλη Ιουλίου 2024. Στόχος των επιτιθέμενων ήταν να αναπτύξουν ένα νέο εργαλείο συλλογής πληροφοριών γνωστό ως AnvilEcho.
Οι ερευνητές κυβερνοασφάλειας έχουν αναγνωρίσει αυτή τη δραστηριότητα ως TA453, μια ομάδα επίσης γνωστή στην κοινότητα της κυβερνοασφάλειας με διάφορα ονόματα, όπως APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) και Yellow Garuda (PwC) .
Οι επιτιθέμενοι αρχικά προσπάθησαν να επικοινωνήσουν με τον στόχο μέσω ενός αβλαβούς email για να δημιουργήσουν σχέση, με σκοπό να τους πείσουν αργότερα να κάνουν κλικ σε έναν απειλητικό σύνδεσμο.
Πίνακας περιεχομένων
Οι ηθοποιοί απειλών αναπτύσσουν προηγουμένως άγνωστο κακόβουλο λογισμικό
Η αλυσίδα επιθέσεων είχε στόχο να αναπτύξει ένα νέο κιτ εργαλείων κακόβουλου λογισμικού που ονομάζεται BlackSmith, το οποίο με τη σειρά του παρέδωσε έναν Trojan PowerShell γνωστό ως AnvilEcho.
Το TA453 πιστεύεται ότι συνδέεται με το Σώμα Φρουρών της Ισλαμικής Επανάστασης (IRGC) του Ιράν, διεξάγοντας στοχευμένες εκστρατείες phishing για την προώθηση των πολιτικών και στρατιωτικών στόχων της χώρας. Τα ερευνητικά δεδομένα δείχνουν ότι περίπου το 60% της γεωγραφικής στόχευσης του APT42 έχει κατευθυνθεί στις ΗΠΑ και το Ισραήλ, με πρόσθετους στόχους όπως το Ιράν και το Ηνωμένο Βασίλειο
Οι τακτικές κοινωνικής μηχανικής τους είναι αμείλικτες και πειστικές. Οι εισβολείς υποδύονται νόμιμες οργανώσεις και δημοσιογράφους για να εμπλακούν σε πιθανά θύματα, χτίζοντας σταδιακά εμπιστοσύνη προτού τους παγιδεύσουν με έγγραφα φορτωμένα με κακόβουλο λογισμικό ή πλαστές σελίδες phishing διαπιστευτηρίων.
Αλυσίδα phishing και κοινωνικής μηχανικής πολλαπλών σταδίων
Το APT42 αρχικά θα αλληλεπιδρούσε με τον στόχο του χρησιμοποιώντας μια τακτική κοινωνικής μηχανικής για να κανονίσει μια βιντεοσύσκεψη, οδηγώντας τους σε μια σελίδα προορισμού όπου τους ζητήθηκε να συνδεθούν και στη συνέχεια κατευθυνόταν σε μια σελίδα phishing. Μια άλλη προσέγγιση περιελάμβανε την αποστολή νόμιμων συνημμένων PDF ως μέρος ενός προγράμματος κοινωνικής μηχανικής για την οικοδόμηση εμπιστοσύνης και την ενθάρρυνση της αλληλεπίδρασης σε πλατφόρμες όπως το Signal, το Telegram ή το WhatsApp.
Οι πιο πρόσφατες επιθέσεις ξεκίνησαν στις 22 Ιουλίου 2024, με τον πρωταγωνιστή της απειλής να απευθύνεται σε πολλές διευθύνσεις ηλεκτρονικού ταχυδρομείου που σχετίζονται με μια ανώνυμη Εβραία φιγούρα. Υποδύθηκαν ως Διευθυντής Έρευνας του Ινστιτούτου για τη Μελέτη του Πολέμου (ISW) και κάλεσαν τον στόχο να συμμετάσχει ως καλεσμένος σε ένα podcast.
Σε απάντηση στην έρευνα του στόχου, το TA453 αναφέρεται ότι έστειλε μια διεύθυνση URL DocSend που προστατεύεται με κωδικό πρόσβασης, η οποία οδήγησε σε ένα αρχείο κειμένου που περιέχει έναν σύνδεσμο προς ένα νόμιμο podcast που φιλοξενείται από το ISW. Τα δόλια μηνύματα ηλεκτρονικού ταχυδρομείου στάλθηκαν από τον τομέα understandingthewar.org, μια προσπάθεια μίμησης του πραγματικού ιστότοπου του ISW (understandingwar.org).
Οι ερευνητές πιστεύουν ότι η στρατηγική του TA453 ήταν να εγκλιματίσει τον στόχο στο κλικ σε συνδέσμους και στην εισαγωγή κωδικών πρόσβασης, καθιστώντας τους πιο πιθανό να πέσουν σε μελλοντικές παραδόσεις κακόβουλου λογισμικού. Σε επόμενα μηνύματα, ο παράγοντας απειλής έστειλε μια διεύθυνση URL του Google Drive που φιλοξενούσε ένα αρχείο ZIP ('Podcast Plan-2024.zip'), το οποίο περιείχε ένα αρχείο συντόμευσης των Windows (LNK) που είχε σχεδιαστεί για την ανάπτυξη της εργαλειοθήκης BlackSmith.
Το AnvilEcho είναι μια ισχυρή απειλή συλλογής δεδομένων
Το AnvilEcho, που παρέχεται μέσω του κιτ εργαλείων BlackSmith, θεωρείται πιθανός διάδοχος των προηγούμενων εμφυτευμάτων PowerShell όπως τα CharmPower, GorjolEcho, POWERSTAR και PowerLess. Ο BlackSmith έχει επίσης σχεδιαστεί για να παρουσιάζει ένα έγγραφο δέλεαρ ως απόσπαση της προσοχής.
Αξίζει να σημειωθεί ότι το όνομα «BlackSmith» είχε προηγουμένως συσχετιστεί με ένα στοιχείο κλοπής προγράμματος περιήγησης που εντοπίστηκε από ειδικούς της infosec νωρίτερα φέτος. Αυτό το στοιχείο συνδέθηκε με μια καμπάνια διανομής BASICSTAR, με στόχο άτομα υψηλού προφίλ που εμπλέκονται σε υποθέσεις της Μέσης Ανατολής.
Το AnvilEcho είναι ένα εξελιγμένο trojan PowerShell με εκτεταμένη λειτουργικότητα, που στοχεύει κυρίως στη συλλογή πληροφοριών και την εξαγωγή δεδομένων. Στα βασικά χαρακτηριστικά του περιλαμβάνονται η αναγνώριση συστήματος, η λήψη στιγμιότυπων οθόνης, η λήψη απομακρυσμένων αρχείων και η αποστολή ευαίσθητων δεδομένων μέσω FTP και Dropbox.
Οι εκστρατείες phishing του TA453 ευθυγραμμίζονται με συνέπεια με τις προτεραιότητες πληροφοριών του IRGC. Αυτή η συγκεκριμένη ανάπτυξη κακόβουλου λογισμικού που στοχεύει μια εξέχουσα εβραϊκή προσωπικότητα φαίνεται να αποτελεί μέρος των ευρύτερων προσπαθειών του Ιράν στον κυβερνοχώρο κατά των ισραηλινών συμφερόντων. Το TA453 παραμένει μια επίμονη απειλή, εστιάζοντας σε πολιτικούς, υπερασπιστές των ανθρωπίνων δικαιωμάτων, αντιφρονούντες και ακαδημαϊκούς.
