AnvilEcho Infostealer

גורמי איומים בחסות המדינה האיראנית נקשרו לקמפיינים של דיוג חניתות שכוונו לדמות יהודית בולטת החל מסוף יולי 2024. מטרת התוקפים הייתה לפרוס כלי חדש לאיסוף מודיעין הידוע בשם AnvilEcho.

חוקרי אבטחת סייבר זיהו פעילות זו כ-TA453, קבוצה הידועה גם בקהילת אבטחת הסייבר בשמות שונים, כולל APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft), ו-Yellow Garuda (PwC) .

התוקפים ניסו בתחילה ליצור תקשורת עם המטרה באמצעות אימייל לא מזיק כדי לבנות קרבה, מתוך כוונה לשכנע אותם מאוחר יותר ללחוץ על קישור מאיים.

שחקני איומים פורסים תוכנה זדונית שלא ידועה בעבר

שרשרת התקיפה נועדה לפרוס ערכת כלים חדשה של תוכנות זדוניות בשם BlackSmith, אשר בתורה סיפקה סוס טרויאני PowerShell הידוע בשם AnvilEcho.

על פי ההערכות, TA453 קשור למשמרות המהפכה האסלאמיות של איראן (IRGC), המנהל מסעות פישינג ממוקדים כדי לקדם את המטרות הפוליטיות והצבאיות של המדינה. נתוני מחקר מצביעים על כך שכ-60% מהמיקוד הגיאוגרפי של APT42 הופנה לארה"ב וישראל, כאשר מטרות נוספות כוללות איראן ובריטניה

הטקטיקות של ההנדסה החברתית שלהם הן בלתי פוסקות ומשכנעות. התוקפים מתחזים לארגונים ועיתונאים לגיטימיים כדי לעסוק בקורבנות פוטנציאליים, תוך בניית אמון בהדרגה לפני שהם נלכדים במסמכים עמוסי תוכנות זדוניות או דפי פישינג מזויפים.

שרשרת דיוג והנדסה חברתית רב-שלבית

APT42 יפעיל בתחילה את היעד שלהם תוך שימוש בטקטיקה של הנדסה חברתית כדי לארגן פגישת וידאו, מה שמוביל אותם לדף נחיתה שבו הם התבקשו להיכנס ואז הועברו לדף דיוג. גישה נוספת כללה שליחת קבצי PDF לגיטימיים כחלק מתוכנית הנדסה חברתית לבניית אמון ולעידוד אינטראקציה בפלטפורמות כמו Signal, Telegram או WhatsApp.

ההתקפות האחרונות החלו ב-22 ביולי 2024, כאשר שחקן האיום פנה למספר כתובות דוא"ל הקשורות לדמות יהודית ללא שם. הם התחזות למנהל המחקר של המכון לחקר המלחמה (ISW) והזמינו את היעד להשתתף כאורח בפודקאסט.

בתגובה לפניית היעד, דווח ש-TA453 שלח כתובת DocSend מוגנת בסיסמה, שהובילה לקובץ טקסט המכיל קישור לפודקאסט לגיטימי שמתארח ב-ISW. האימיילים המזויפים נשלחו מהדומיין understandingthewar.org, ניסיון לחקות את אתר האינטרנט של ISW בפועל (understandingwar.org).

חוקרים מאמינים שהאסטרטגיה של TA453 הייתה להתאים את היעד ללחיצה על קישורים ולהזנת סיסמאות, מה שהופך אותם לסביר יותר ליפול לאספקת תוכנות זדוניות עתידיות. בהודעות שלאחר מכן, שחקן האיום שלח כתובת אתר של Google Drive המארח ארכיון ZIP ('Podcast Plan-2024.zip'), שהכיל קובץ קיצור של Windows (LNK) שנועד לפרוס את ערכת הכלים של BlackSmith.

AnvilEcho הוא איום רב עוצמה לקצירת נתונים

AnvilEcho, הנמסר באמצעות ערכת הכלים של BlackSmith, נחשב ליורש סביר של שתלי PowerShell קודמים כגון CharmPower, GorjolEcho, POWERSTAR ו-PowerLess. BlackSmith נועד גם להציג מסמך פיתוי כהסחת דעת.

ראוי לציין שהשם 'BlackSmith' נקשר בעבר לרכיב גניבת דפדפן שזוהה על ידי מומחי infosec מוקדם יותר השנה. רכיב זה היה מקושר לקמפיין להפצת BASICSTAR, המכוון לאנשים בעלי פרופיל גבוה המעורבים בענייני המזרח התיכון.

AnvilEcho הוא טרויאני PowerShell מתוחכם עם פונקציונליות נרחבת, שמטרתה בעיקר איסוף מודיעין וחילוץ נתונים. התכונות העיקריות שלו כוללות סיור מערכת, צילום מסך, הורדת קבצים מרוחקים והעלאת נתונים רגישים דרך FTP ו-Dropbox.

מסעות הפרסום של TA453 מתאימים באופן עקבי לסדר העדיפויות המודיעיני של משמרות המהפכה. נראה כי פריסת תוכנה זדונית ספציפית זו המכוונת לדמות יהודית בולטת היא חלק ממאמצי הסייבר הרחבים יותר של איראן נגד האינטרסים הישראליים. TA453 נותר איום מתמשך, המתמקד בפוליטיקאים, מגיני זכויות אדם, מתנגדים ואקדמאים.