AnvilEcho Infostealer
Az iráni állam által szponzorált fenyegetés szereplőit 2024 júliusától kezdődően egy prominens zsidó személyiséget célzó lándzsás adathalász kampányokhoz hozták összefüggésbe. A támadók célja egy új hírszerzési eszköz, az AnvilEcho bevetése volt.
A kiberbiztonsági kutatók ezt a tevékenységet a TA453 néven azonosították, egy olyan csoport, amelyet a kiberbiztonsági közösség különböző neveken is ismer, többek között az APT42 (Mandiant), a Charming Kitten (CrowdStrike), a Damselfly (Symantec), a Mint Sandstorm (Microsoft) és a Yellow Garuda (PwC) néven. .
A támadók kezdetben egy ártalmatlan e-mailen keresztül próbáltak kommunikálni a célponttal, hogy kapcsolatot építsenek ki, azzal a szándékkal, hogy később meggyőzzék őket egy fenyegető hivatkozásra való kattintásról.
Tartalomjegyzék
A fenyegető szereplők korábban ismeretlen rosszindulatú programokat telepítenek
A támadási lánc célja egy új, BlackSmith nevű rosszindulatú programkészlet telepítése volt, amely viszont az AnvilEcho néven ismert PowerShell trójai programot szállított.
A TA453 feltehetően kapcsolatban áll az Iráni Iszlám Forradalmi Gárda Hadtesttel (IRGC), amely célzott adathalász kampányokat folytat az ország politikai és katonai céljainak előmozdítása érdekében. A kutatási adatok azt mutatják, hogy az APT42 földrajzi célzásának körülbelül 60%-a az Egyesült Államokra és Izraelre irányult, további célpontok pedig Irán és az Egyesült Királyság.
Társadalmi tervezési taktikájuk könyörtelen és meggyőző. A támadók törvényes szervezeteknek és újságíróknak adják ki magukat, hogy bevonják a potenciális áldozatokat, fokozatosan építve a bizalmat, mielőtt rosszindulatú programokkal teli dokumentumokkal vagy hamis hitelesítő adathalász oldalakkal ejtenék csapdába őket.
Többlépcsős adathalászati és közösségi tervezési lánc
Az APT42 kezdetben egy social engineering taktikát alkalmazva bevonta a célpontját, hogy megszervezzen egy videotalálkozót, amely egy céloldalra vezette őket, ahol bejelentkezést kértek, majd egy adathalász oldalra irányították őket. Egy másik megközelítés szerint legitim PDF-mellékleteket küldtek egy social engineering séma részeként a bizalomépítés és az interakció ösztönzése érdekében olyan platformokon, mint a Signal, a Telegram vagy a WhatsApp.
A legutóbbi támadások 2024. július 22-én kezdődtek, amikor a fenyegetettség szereplője több olyan e-mail címet is elért, amelyek egy meg nem nevezett zsidó személyhez kapcsolódnak. Az Institute for the Study of War (ISW) kutatási igazgatójaként pózoltak, és meghívták a célszemélyt, hogy vegyen részt egy podcastban.
A célpont kérdésére válaszul a TA453 jelszóval védett DocSend URL-t küldött, ami egy szöveges fájlhoz vezetett, amely egy legitim ISW által hosztolt podcastra mutató hivatkozást tartalmazott. A csalárd e-maileket a supratingthewar.org domainről küldték, az ISW tényleges webhelyének (understandingwar.org) utánzására tett kísérletet.
A kutatók úgy vélik, hogy a TA453 stratégiája az volt, hogy hozzászoktassa a célpontot a linkekre való kattintáshoz és a jelszavak megadásához, így nagyobb valószínűséggel esnek vissza a jövőbeni rosszindulatú programok szállítására. A következő üzenetekben a fenyegetés szereplője egy ZIP-archívumot ("Podcast Plan-2024.zip") tartalmazó Google Drive URL-t küldött, amely egy Windows parancsikon (LNK) fájlt tartalmazott, amelyet a BlackSmith eszközkészlet telepítésére terveztek.
Az AnvilEcho egy erős adatgyűjtési fenyegetés
A BlackSmith eszközkészleten keresztül szállított AnvilEcho a korábbi PowerShell implantátumok, például a CharmPower, a GorjolEcho, a POWERSTAR és a PowerLess valószínű utódja. A BlackSmith-et arra is tervezték, hogy a csalogató dokumentumot elterelje.
Figyelemre méltó, hogy a „BlackSmith” nevet korábban egy böngészőlopó komponenssel társították, amelyet az infosec szakértői azonosítottak az év elején. Ez az összetevő egy BASICSTAR-t terjesztő kampányhoz kapcsolódott, amely a közel-keleti ügyekben érintett magas rangú személyeket célozta meg.
Az AnvilEcho egy kifinomult PowerShell trójai, amely kiterjedt funkcionalitással rendelkezik, és elsősorban az intelligenciagyűjtésre és az adatok kiszűrésére irányul. Főbb funkciói közé tartozik a rendszer felderítése, képernyőképek készítése, távoli fájlok letöltése, valamint érzékeny adatok feltöltése FTP-n és Dropboxon keresztül.
A TA453 adathalász kampányai következetesen igazodnak az IRGC hírszerzési prioritásaihoz. Úgy tűnik, hogy ez a rosszindulatú program egy prominens zsidó személyiséget célzó bevetése Irán szélesebb körű, izraeli érdekek ellen irányuló számítógépes erőfeszítéseinek része. A TA453 továbbra is állandó fenyegetést jelent, a politikusokra, az emberi jogok védelmezőire, a másként gondolkodókra és az akadémikusokra összpontosítva.
