AnvilEcho Infostealer

بازیگران تهدید تحت حمایت دولت ایران با کمپین های فیشینگ نیزه ای با هدف یک شخصیت برجسته یهودی که از اواخر ژوئیه 2024 شروع شده است، مرتبط شده اند. هدف مهاجمان به کارگیری یک ابزار جمع آوری اطلاعات جدید به نام AnvilEcho بود.

محققان امنیت سایبری این فعالیت را با نام TA453 شناسایی کرده‌اند، گروهی که در جامعه امنیت سایبری با نام‌های مختلفی از جمله APT42 (Mandiant)، گربه جذاب (CrowdStrike)، دامسلفلای (Symantec)، طوفان شن نعناع (Microsoft) و Yellow Garuda (PwC) شناخته می‌شود. .

مهاجمان در ابتدا سعی کردند از طریق یک ایمیل بی ضرر با هدف ارتباط برقرار کنند تا ارتباط برقرار کنند و قصد داشتند بعداً آنها را متقاعد کنند که روی یک پیوند تهدید کننده کلیک کنند.

عوامل تهدید از بدافزار ناشناخته قبلی استفاده می کنند

هدف زنجیره حمله، استقرار یک ابزار بدافزار جدید به نام BlackSmith بود که به نوبه خود یک تروجان PowerShell معروف به AnvilEcho را ارائه داد.

گمان می رود TA453 با سپاه پاسداران انقلاب اسلامی ایران (سپاه پاسداران انقلاب اسلامی) مرتبط باشد و کمپین های فیشینگ هدفمند را برای پیشبرد اهداف سیاسی و نظامی کشور انجام می دهد. داده‌های تحقیقاتی نشان می‌دهد که تقریباً 60 درصد از هدف‌گیری جغرافیایی APT42 به سمت ایالات متحده و اسرائیل و اهداف اضافی از جمله ایران و بریتانیا هدایت شده است.

تاکتیک های مهندسی اجتماعی آنها هم بی امان و هم قانع کننده است. مهاجمان با جعل هویت سازمان‌ها و روزنامه‌نگاران قانونی، قربانیان احتمالی را درگیر می‌کنند، به تدریج اعتماد ایجاد می‌کنند قبل از اینکه آنها را با اسناد مملو از بدافزار یا صفحات فیشینگ اعتبار جعلی به دام بیاندازند.

فیشینگ چند مرحله ای و زنجیره مهندسی اجتماعی

APT42 در ابتدا با استفاده از یک تاکتیک مهندسی اجتماعی برای ترتیب دادن یک جلسه ویدیویی، هدف خود را درگیر می‌کرد و آنها را به صفحه فرود هدایت می‌کرد که در آنجا از آنها خواسته می‌شد وارد شوند و سپس به صفحه فیشینگ هدایت می‌شدند. رویکرد دیگر شامل ارسال پیوست‌های PDF قانونی به عنوان بخشی از یک طرح مهندسی اجتماعی برای ایجاد اعتماد و تشویق تعامل در پلتفرم‌هایی مانند سیگنال، تلگرام یا واتس‌اپ بود.

جدیدترین حملات در 22 ژوئیه 2024 آغاز شد و عامل تهدید به چندین آدرس ایمیل مرتبط با یک شخصیت یهودی ناشناس مراجعه کرد. آنها به عنوان مدیر تحقیقات موسسه مطالعات جنگ (ISW) ظاهر شدند و از هدف دعوت کردند تا به عنوان مهمان در یک پادکست شرکت کند.

در پاسخ به درخواست هدف، گزارش شده است که TA453 یک URL DocSend محافظت شده با رمز عبور ارسال کرده است که منجر به یک فایل متنی حاوی پیوندی به یک پادکست قانونی میزبانی شده توسط ISW شده است. ایمیل‌های تقلبی از دامنه Understandingthewar.org ارسال شده‌اند، تلاشی برای تقلید از وب‌سایت واقعی ISW (understandingwar.org).

محققان بر این باورند که استراتژی TA453 این بود که هدف را با کلیک کردن روی پیوندها و وارد کردن گذرواژه‌ها وفق دهد و احتمال بیشتری برای تحویل بدافزارها در آینده ایجاد کند. در پیام‌های بعدی، عامل تهدید یک URL Google Drive را ارسال کرد که میزبان یک آرشیو ZIP ('Podcast Plan-2024.zip') بود، که حاوی یک فایل میانبر ویندوز (LNK) بود که برای استقرار جعبه ابزار BlackSmith طراحی شده بود.

AnvilEcho یک تهدید قوی برای جمع آوری داده ها است

AnvilEcho که از طریق جعبه ابزار BlackSmith ارائه می شود، به عنوان جانشین احتمالی ایمپلنت های PowerShell قبلی مانند CharmPower، GorjolEcho، POWERSTAR و PowerLess در نظر گرفته می شود. BlackSmith همچنین برای ارائه یک سند فریب به عنوان حواس پرتی طراحی شده است.

قابل توجه است که نام BlackSmith قبلاً با یک جزء سرقت کننده مرورگر که توسط کارشناسان infosec در اوایل سال جاری شناسایی شده بود، مرتبط بوده است. این مؤلفه به کمپینی مرتبط بود که BASICSTAR را توزیع می‌کرد و افراد سرشناس درگیر در امور خاورمیانه را هدف قرار می‌داد.

AnvilEcho یک تروجان پیشرفته PowerShell با عملکرد گسترده است که در درجه اول جمع آوری اطلاعات و استخراج داده ها را هدف قرار می دهد. از ویژگی های کلیدی آن می توان به شناسایی سیستم، گرفتن اسکرین شات، دانلود فایل های از راه دور و آپلود داده های حساس از طریق FTP و Dropbox اشاره کرد.

کمپین های فیشینگ TA453 به طور مداوم با اولویت های اطلاعاتی سپاه همسو می شود. به نظر می رسد که این بدافزار خاص که یک شخصیت برجسته یهودی را هدف قرار می دهد، بخشی از تلاش های سایبری گسترده ایران علیه منافع اسرائیل باشد. TA453 همچنان یک تهدید دائمی است و بر سیاستمداران، مدافعان حقوق بشر، مخالفان و دانشگاهیان تمرکز دارد.