AnvilEcho Infostealer
Iraani riiklikult rahastatud ohus osalejaid on seostatud 2024. aasta juuli lõpus alanud prominentse juuditegelase vastu suunatud andmepüügikampaaniatega. Ründajate eesmärk oli võtta kasutusele uus luureandmete kogumise tööriist, mida tuntakse nimega AnvilEcho.
Küberjulgeolekuteadlased on tuvastanud selle tegevuse kui TA453, rühmitus, mida küberturvalisuse kogukonnas tuntakse ka erinevate nimede all, sealhulgas APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) ja Yellow Garuda (PwC). .
Ründajad püüdsid algselt luua sidet sihtmärgiga kahjutu meili teel, et luua sidet, eesmärgiga veenda neid hiljem ähvardaval lingil klõpsama.
Sisukord
Ohutegijad juurutavad varem tundmatut pahavara
Rünnaketi eesmärk oli juurutada uus pahavara tööriistakomplekt nimega BlackSmith, mis omakorda tarnis PowerShelli troojalase nimega AnvilEcho.
Arvatakse, et TA453 on seotud Iraani Islami revolutsioonilise kaardiväe korpusega (IRGC), kes korraldab sihipäraseid andmepüügikampaaniaid, et edendada riigi poliitilisi ja sõjalisi eesmärke. Uuringuandmed näitavad, et ligikaudu 60% APT42 geograafilisest sihtimisest on suunatud USA-le ja Iisraelile ning täiendavad sihtmärgid, sealhulgas Iraan ja Ühendkuningriik.
Nende sotsiaalse inseneri taktika on ühtaegu järeleandmatu ja veenev. Ründajad kehastavad õigustatud organisatsioone ja ajakirjanikke potentsiaalsete ohvrite kaasamiseks, suurendades järk-järgult usaldust, enne kui nad püüavad kinni pahavaraga koormatud dokumentide või võltsitud mandaatide andmepüügilehtedega.
Mitmeastmeline andmepüügi- ja sotsiaaltehnoloogia kett
APT42 kasutas alguses oma sihtmärki sotsiaalse insener-taktika abil, et korraldada videokoosolek, mis viib nad sihtlehele, kus paluti neil sisse logida ja seejärel suunati andmepüügilehele. Teine lähenemisviis hõlmas legitiimsete PDF-manuste saatmist sotsiaalse korralduse skeemi osana, et luua usaldust ja julgustada suhtlemist sellistel platvormidel nagu Signal, Telegram või WhatsApp.
Viimased rünnakud algasid 22. juulil 2024, kui ähvardaja jõudis mitmele e-posti aadressile, mis olid seotud nimetu juudi tegelasega. Nad esinesid Sõjauuringute Instituudi (ISW) teadusdirektorina ja kutsusid sihtmärki taskuhäälingusaate külalisena osalema.
Vastuseks sihtmärgi päringule on teatatud, et TA453 saatis parooliga kaitstud DocSendi URL-i, mis viis tekstifaili, mis sisaldas linki seaduslikule ISW-hostitud taskuhäälingule. Petturlikud meilid saadeti domeenist supratingthewar.org, millega püüti jäljendada tegelikku ISW veebisaiti (understandingwar.org).
Teadlased usuvad, et TA453 strateegia oli kohandada sihtmärki linkidel klõpsamise ja paroolide sisestamisega, muutes need tõenäolisemaks tulevikus pahavara tarnimise tõttu. Järgmistes sõnumites saatis ohustaja Google Drive'i URL-i, mis majutab ZIP-arhiivi (Podcast Plan-2024.zip), mis sisaldas Windowsi otsetee (LNK) faili, mis oli mõeldud BlackSmithi tööriistakomplekti juurutamiseks.
AnvilEcho on tugev andmekogumisoht
AnvilEchot, mida tarnitakse BlackSmithi tööriistakomplekti kaudu, peetakse varasemate PowerShelli implantaatide, nagu CharmPower, GorjolEcho, POWERSTAR ja PowerLess, tõenäoliseks järglaseks. BlackSmith on loodud ka peibutusdokumendi esitamiseks tähelepanu kõrvalejuhtimiseks.
On tähelepanuväärne, et nime "BlackSmith" on varem seostatud brauseri varguse komponendiga, mille infoseci eksperdid tuvastasid selle aasta alguses. See komponent oli seotud BASICSTARi levitamise kampaaniaga, mis oli suunatud Lähis-Ida asjadega seotud kõrgetasemelistele isikutele.
AnvilEcho on ulatuslik PowerShelli troojalane, millel on laialdased funktsioonid ja mis on peamiselt suunatud luureandmete kogumisele ja andmete väljafiltreerimisele. Selle põhifunktsioonide hulka kuuluvad süsteemiga tutvumine, ekraanipiltide tegemine, kaugfailide allalaadimine ning tundlike andmete üleslaadimine FTP ja Dropboxi kaudu.
TA453 andmepüügikampaaniad on järjekindlalt kooskõlas IRGC luureprioriteetidega. See konkreetne pahavara juurutamine, mis on suunatud silmapaistvale juudi tegelasele, näib olevat osa Iraani laiematest küberpüüdlustest Iisraeli huvide vastu. TA453 on jätkuvalt pidev oht, keskendudes poliitikutele, inimõiguste kaitsjatele, teisitimõtlejatele ja akadeemikutele.
