AnvilEcho इन्फोस्टीलर

ईरानी राज्य-प्रायोजित खतरा पैदा करने वाले अभिनेताओं को जुलाई 2024 के अंत में शुरू होने वाले एक प्रमुख यहूदी व्यक्ति को लक्षित करने वाले स्पीयर-फ़िशिंग अभियानों से जोड़ा गया है। हमलावरों का लक्ष्य एनविलइको नामक एक नया खुफिया-एकत्रण उपकरण तैनात करना था।

साइबर सुरक्षा शोधकर्ताओं ने इस गतिविधि की पहचान TA453 के रूप में की है, यह समूह साइबर सुरक्षा समुदाय में विभिन्न नामों से भी जाना जाता है, जिनमें APT42 (मैंडिएंट), चार्मिंग किटन (क्राउडस्ट्राइक), डैमसेल्फ़्ली (सिमेंटेक), मिंट सैंडस्टॉर्म (माइक्रोसॉफ्ट) और येलो गरुड़ (PwC) शामिल हैं।

हमलावरों ने शुरू में लक्ष्य के साथ संबंध बनाने के लिए एक हानिरहित ईमेल के माध्यम से संवाद स्थापित करने का प्रयास किया, जिसका उद्देश्य बाद में उन्हें एक धमकी भरे लिंक पर क्लिक करने के लिए राजी करना था।

ख़तरा पैदा करने वाले लोग पहले से अज्ञात मैलवेयर का इस्तेमाल करते हैं

हमले की श्रृंखला का उद्देश्य ब्लैकस्मिथ नामक एक नया मैलवेयर टूलकिट तैनात करना था, जो बदले में एन्विलइको नामक एक पॉवरशेल ट्रोजन को जन्म देता था।

माना जाता है कि TA453 ईरान के इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (IRGC) से जुड़ा हुआ है, जो देश के राजनीतिक और सैन्य उद्देश्यों को आगे बढ़ाने के लिए लक्षित फ़िशिंग अभियान चलाता है। शोध डेटा से पता चलता है कि APT42 के लगभग 60% भौगोलिक लक्ष्य अमेरिका और इज़राइल को लक्षित किए गए हैं, जिसमें ईरान और यूके भी शामिल हैं।

उनकी सोशल इंजीनियरिंग की रणनीतियां अथक और विश्वसनीय दोनों हैं। हमलावर संभावित पीड़ितों को आकर्षित करने के लिए वैध संगठनों और पत्रकारों का रूप धारण करते हैं, धीरे-धीरे विश्वास का निर्माण करते हैं और फिर उन्हें मैलवेयर से भरे दस्तावेजों या नकली क्रेडेंशियल फ़िशिंग पृष्ठों के साथ फंसा देते हैं।

बहु-चरणीय फ़िशिंग और सोशल इंजीनियरिंग श्रृंखला

APT42 शुरू में अपने लक्ष्य को सोशल इंजीनियरिंग रणनीति का उपयोग करके वीडियो मीटिंग की व्यवस्था करने के लिए संलग्न करता था, उन्हें लैंडिंग पेज पर ले जाता था जहाँ उन्हें लॉग इन करने के लिए कहा जाता था और फिर फ़िशिंग पेज पर निर्देशित किया जाता था। एक अन्य दृष्टिकोण में सिग्नल, टेलीग्राम या व्हाट्सएप जैसे प्लेटफ़ॉर्म पर विश्वास बनाने और बातचीत को प्रोत्साहित करने के लिए एक सोशल इंजीनियरिंग योजना के हिस्से के रूप में वैध पीडीएफ अटैचमेंट भेजना शामिल था।

सबसे हालिया हमले 22 जुलाई, 2024 को शुरू हुए, जिसमें धमकी देने वाले ने एक अनाम यहूदी व्यक्ति से जुड़े कई ईमेल पतों तक पहुंच बनाई। उन्होंने खुद को इंस्टीट्यूट फॉर द स्टडी ऑफ वॉर (ISW) का रिसर्च डायरेक्टर बताया और टारगेट को पॉडकास्ट में अतिथि के रूप में भाग लेने के लिए आमंत्रित किया।

लक्ष्य की पूछताछ के जवाब में, TA453 ने कथित तौर पर एक पासवर्ड-संरक्षित DocSend URL भेजा, जो एक वैध ISW-होस्टेड पॉडकास्ट के लिंक वाली एक टेक्स्ट फ़ाइल की ओर ले गया। धोखाधड़ी वाले ईमेल, Understandingthewar.org डोमेन से भेजे गए थे, जो वास्तविक ISW वेबसाइट (understandingwar.org) की नकल करने का एक प्रयास था।

शोधकर्ताओं का मानना है कि TA453 की रणनीति लक्ष्य को लिंक पर क्लिक करने और पासवर्ड दर्ज करने के लिए अभ्यस्त बनाना था, जिससे भविष्य में मैलवेयर डिलीवरी के लिए उनके फंसने की संभावना अधिक हो। बाद के संदेशों में, धमकी देने वाले अभिनेता ने एक ZIP संग्रह ('पॉडकास्ट प्लान-2024.zip') होस्ट करने वाला Google ड्राइव URL भेजा, जिसमें ब्लैकस्मिथ टूलकिट को तैनात करने के लिए डिज़ाइन की गई एक Windows शॉर्टकट (LNK) फ़ाइल थी।

एनविलइको एक शक्तिशाली डेटा-हार्वेस्टिंग खतरा है

ब्लैकस्मिथ टूलकिट के माध्यम से वितरित एनविलइको को चार्मपावर, गोरजोलइको, पावरस्टार और पावरलेस जैसे पिछले पावरशेल इम्प्लांट्स का संभावित उत्तराधिकारी माना जाता है। ब्लैकस्मिथ को एक लुअर दस्तावेज़ को एक विकर्षण के रूप में प्रस्तुत करने के लिए भी डिज़ाइन किया गया है।

यह उल्लेखनीय है कि 'ब्लैकस्मिथ' नाम पहले भी एक ब्राउज़र चोरी करने वाले घटक से जुड़ा हुआ है, जिसकी पहचान इस साल की शुरुआत में इन्फोसेक विशेषज्ञों ने की थी। यह घटक BASICSTAR वितरित करने वाले एक अभियान से जुड़ा था, जिसका लक्ष्य मध्य पूर्वी मामलों में शामिल उच्च-प्रोफ़ाइल व्यक्ति थे।

एनविलइको एक परिष्कृत पॉवरशेल ट्रोजन है जिसमें व्यापक कार्यक्षमता है, जिसका मुख्य उद्देश्य खुफिया जानकारी एकत्र करना और डेटा निकालना है। इसकी प्रमुख विशेषताओं में सिस्टम की टोह लेना, स्क्रीनशॉट लेना, दूरस्थ फ़ाइलें डाउनलोड करना और FTP और ड्रॉपबॉक्स के माध्यम से संवेदनशील डेटा अपलोड करना शामिल है।

TA453 के फ़िशिंग अभियान लगातार IRGC की खुफिया प्राथमिकताओं के अनुरूप हैं। एक प्रमुख यहूदी व्यक्ति को लक्षित करने वाला यह विशेष मैलवेयर परिनियोजन इजरायल के हितों के खिलाफ ईरान के व्यापक साइबर प्रयासों का हिस्सा प्रतीत होता है। TA453 राजनेताओं, मानवाधिकार रक्षकों, असंतुष्टों और शिक्षाविदों पर ध्यान केंद्रित करते हुए एक सतत खतरा बना हुआ है।