AnvilEcho Infostealer
Iranski akteri prijetnji koje sponzorira država povezani su s kampanjama krađe identiteta usmjerenim na istaknutu židovsku osobu počevši od kraja srpnja 2024. Cilj napadača bio je primijeniti novi alat za prikupljanje obavještajnih podataka poznat kao AnvilEcho.
Istraživači kibernetičke sigurnosti identificirali su ovu aktivnost kao TA453, grupu poznatu u zajednici kibernetičke sigurnosti pod raznim imenima, uključujući APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) i Yellow Garuda (PwC) .
Napadači su prvo pokušali uspostaviti komunikaciju s metom putem bezopasne e-pošte kako bi izgradili odnos, s namjerom da ih kasnije uvjere da kliknu na prijeteći link.
Sadržaj
Akteri prijetnji postavljaju prethodno nepoznat zlonamjerni softver
Lanac napada imao je za cilj implementaciju novog alata za zlonamjerni softver pod nazivom BlackSmith, koji je zauzvrat isporučio trojanac PowerShell poznat kao AnvilEcho.
Vjeruje se da je TA453 povezan s iranskom Korpusom čuvara islamske revolucije (IRGC), koji provodi ciljane phishing kampanje za postizanje političkih i vojnih ciljeva zemlje. Istraživački podaci pokazuju da je otprilike 60% geografskog ciljanja APT42 usmjereno na SAD i Izrael, s dodatnim ciljevima uključujući Iran i Ujedinjeno Kraljevstvo
Njihova taktika socijalnog inženjeringa je i nemilosrdna i uvjerljiva. Napadači se lažno predstavljaju kao legitimne organizacije i novinari kako bi angažirali potencijalne žrtve, postupno izgrađujući povjerenje prije nego što ih zarobe dokumentima punim zlonamjernog softvera ili lažnim stranicama za krađu vjerodajnica.
Višefazni lanac krađe identiteta i društvenog inženjeringa
APT42 bi u početku angažirao svoju metu koristeći taktiku društvenog inženjeringa kako bi organizirao videosastanak, vodeći ih do odredišne stranice na kojoj se od njih traži da se prijave, a zatim usmjeravaju na stranicu za krađu identiteta. Drugi pristup uključivao je slanje legitimnih PDF privitaka kao dio sheme društvenog inženjeringa za izgradnju povjerenja i poticanje interakcije na platformama kao što su Signal, Telegram ili WhatsApp.
Posljednji napadi započeli su 22. srpnja 2024., a akter prijetnje se obratio na više adresa e-pošte povezanih s neimenovanom židovskom osobom. Predstavili su se kao direktor istraživanja Instituta za proučavanje rata (ISW) i pozvali metu da sudjeluje kao gost u podcastu.
Kao odgovor na upit mete, TA453 je navodno poslao DocSend URL zaštićen lozinkom, koji je doveo do tekstualne datoteke koja sadrži poveznicu na legitimni podcast koji hostira ISW. Lažne e-poruke poslane su s domene understandingthewar.org, u pokušaju oponašanja stvarne web stranice ISW-a (understandingwar.org).
Istraživači vjeruju da je strategija TA453 bila priviknuti metu na klikanje na poveznice i unošenje lozinki, čime bi bila veća vjerojatnost da će pasti na buduće isporuke zlonamjernog softvera. U sljedećim porukama, prijetnja je poslala URL Google Drivea koji je hostirao ZIP arhivu ('Podcast Plan-2024.zip'), koja je sadržavala Windows prečac (LNK) datoteku dizajniranu za implementaciju BlackSmith alata.
AnvilEcho je moćna prijetnja prikupljanjem podataka
AnvilEcho, isporučen putem BlackSmith alata, smatra se vjerojatnim nasljednikom prethodnih PowerShell implantata kao što su CharmPower, GorjolEcho, POWERSTAR i PowerLess. BlackSmith je također dizajniran da predstavi dokument mamca kao smetnju.
Važno je napomenuti da je naziv 'BlackSmith' ranije bio povezan s komponentom kradljivca preglednika koju su identificirali stručnjaci za infosec ranije ove godine. Ova je komponenta bila povezana s kampanjom distribucije BASICSTAR-a, ciljajući na istaknute pojedince uključene u bliskoistočne poslove.
AnvilEcho je sofisticirani PowerShell trojanac s velikom funkcionalnošću, prvenstveno usmjeren na prikupljanje obavještajnih podataka i ekstrakciju podataka. Njegove ključne značajke uključuju izviđanje sustava, snimanje zaslona, preuzimanje udaljenih datoteka i učitavanje osjetljivih podataka putem FTP-a i Dropboxa.
Kampanje krađe identiteta TA453 dosljedno su usklađene s obavještajnim prioritetima IRGC-a. Čini se da je ova posebna implementacija zlonamjernog softvera usmjerena na istaknutu židovsku figuru dio širih iranskih kibernetičkih napora protiv izraelskih interesa. TA453 ostaje stalna prijetnja, usredotočena na političare, branitelje ljudskih prava, disidente i akademike.
