AnvilEcho Infostealer
Iranin valtion tukemat uhkatoimijat on liitetty keihäs-phishing-kampanjoihin, jotka on suunnattu näkyvään juutalaishahmoon heinäkuun 2024 lopulla. Hyökkääjien tavoitteena oli ottaa käyttöön uusi AnvilEcho-niminen tiedonkeruutyökalu.
Kyberturvallisuustutkijat ovat tunnistaneet tämän toiminnan nimellä TA453, ryhmä, joka tunnetaan myös kyberturvallisuusyhteisössä useilla nimillä, mukaan lukien APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) ja Yellow Garuda (PwC). .
Hyökkääjät yrittivät alun perin muodostaa yhteyden kohteen kanssa vaarattoman sähköpostin kautta suhteiden luomiseksi, tarkoituksenaan myöhemmin saada heidät napsauttamaan uhkaavaa linkkiä.
Sisällysluettelo
Uhkatoimijat ottavat käyttöön aiemmin tuntemattomia haittaohjelmia
Hyökkäysketjun tavoitteena oli ottaa käyttöön uusi haittaohjelmatyökalusarja nimeltä BlackSmith, joka puolestaan toimitti PowerShell-troijalaisen, joka tunnetaan nimellä AnvilEcho.
TA453:n uskotaan olevan yhteydessä Iranin Islamic Revolutionary Guard Corpsiin (IRGC), joka suorittaa kohdennettuja tietojenkalastelukampanjoita edistääkseen maan poliittisia ja sotilaallisia tavoitteita. Tutkimustiedot osoittavat, että noin 60 % APT42:n maantieteellisestä kohdistuksesta on suunnattu Yhdysvaltoihin ja Israeliin, ja muita kohteita ovat muun muassa Iran ja Iso-Britannia.
Heidän sosiaalisen suunnittelun taktiikat ovat sekä säälimättömiä että vakuuttavia. Hyökkääjät jäljittelevät laillisia organisaatioita ja toimittajia saadakseen potentiaaliset uhrit kiinni ja rakentavat vähitellen luottamusta, ennen kuin vangitsevat heidät haittaohjelmia sisältävillä asiakirjoilla tai väärennetyillä tunnistetietojen kalastelusivuilla.
Monivaiheinen tietojenkalastelu- ja sosiaalisen teknologian ketju
APT42 sitoutti kohteensa aluksi käyttämällä sosiaalisen manipuloinnin taktiikkaa järjestääkseen videokokouksen, joka johtaisi heidät aloitussivulle, jossa heitä kehotettiin kirjautumaan sisään ja sitten ohjattiin tietojenkalastelusivulle. Toinen lähestymistapa käsitti laillisten PDF-liitteiden lähettämisen osana sosiaalista suunnittelujärjestelmää luottamuksen rakentamiseksi ja vuorovaikutuksen edistämiseksi sellaisilla alustoilla kuin Signal, Telegram tai WhatsApp.
Viimeisimmät hyökkäykset alkoivat 22. heinäkuuta 2024, kun uhkatekijä tavoitti useita sähköpostiosoitteita, jotka liittyivät nimettömään juutalaiseen hahmoon. He esiintyivät Institute for the Study of Warin (ISW) tutkimusjohtajana ja kutsuivat kohteen vieraaksi podcastissa.
Vastauksena kohteen kyselyyn TA453:n kerrotaan lähettäneen salasanalla suojatun DocSend-URL-osoitteen, joka johti tekstitiedostoon, joka sisälsi linkin lailliseen ISW:n isännöimään podcastiin. Vilpilliset sähköpostit lähetettiin verkkotunnuksesta supratingthewar.org, jolla yritettiin jäljitellä todellista ISW-sivustoa (understandingwar.org).
Tutkijat uskovat, että TA453:n strategiana oli totutella kohde linkkien napsautukseen ja salasanojen syöttämiseen, mikä tekee niistä todennäköisemmin kärsimään tulevista haittaohjelmien toimituksista. Myöhemmissä viesteissä uhkatekijä lähetti Google Drive -URL-osoitteen, jossa oli ZIP-arkisto (Podcast Plan-2024.zip), joka sisälsi Windowsin pikakuvaketiedoston (LNK), joka oli suunniteltu BlackSmithin työkalupakin käyttöönottamiseksi.
AnvilEcho on voimakas tiedonkeruuuhka
AnvilEchoa, joka toimitetaan BlackSmithin työkalupakin kautta, pidetään todennäköisenä aiempien PowerShell-implanttien, kuten CharmPowerin, GorjolEchon, POWERSTARin ja PowerLessin, seuraajana. BlackSmith on myös suunniteltu esittämään viehedokumentti häiriötekijänä.
On huomionarvoista, että nimi "BlackSmith" on aiemmin liitetty selainvaraskomponenttiin, jonka infosec-asiantuntijat tunnistivat aiemmin tänä vuonna. Tämä komponentti oli linkitetty BASICSTAR-kampanjaan, joka oli suunnattu Lähi-idän asioihin osallistuville korkean profiilin henkilöille.
AnvilEcho on edistyksellinen PowerShell-troijalainen, jolla on laajat toiminnot ja joka on tarkoitettu ensisijaisesti tiedustelutietojen keräämiseen ja tietojen suodattamiseen. Sen tärkeimpiä ominaisuuksia ovat järjestelmän tutkiminen, kuvakaappausten ottaminen, etätiedostojen lataaminen ja arkaluontoisten tietojen lataaminen FTP:n ja Dropboxin kautta.
TA453:n tietojenkalastelukampanjat ovat johdonmukaisesti IRGC:n tiedusteluprioriteettien mukaisia. Tämä erityinen haittaohjelmien käyttöönotto, joka kohdistuu näkyvään juutalaiseen henkilöön, näyttää olevan osa Iranin laajempia kyberponnisteluja Israelin etuja vastaan. TA453 on edelleen jatkuva uhka, ja se keskittyy poliitikkoihin, ihmisoikeuksien puolustajiin, toisinajattelijoihin ja tutkijoihin.
