AnvilEcho Infostealer
Gli autori di minacce sponsorizzate dallo stato iraniano sono stati collegati a campagne di spear-phishing mirate a una figura ebraica di spicco a partire da fine luglio 2024. L'obiettivo degli aggressori era quello di implementare un nuovo strumento di raccolta di informazioni noto come AnvilEcho.
I ricercatori di sicurezza informatica hanno identificato questa attività come TA453, un gruppo noto nella comunità della sicurezza informatica anche con vari nomi, tra cui APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) e Yellow Garuda (PwC).
Inizialmente gli aggressori hanno tentato di stabilire una comunicazione con la vittima tramite un'e-mail innocua per creare un rapporto, con l'intenzione di convincerla in seguito a cliccare su un collegamento minaccioso.
Sommario
Gli attori della minaccia distribuiscono malware precedentemente sconosciuti
La catena di attacchi mirava a distribuire un nuovo toolkit malware chiamato BlackSmith, che a sua volta distribuiva un trojan PowerShell noto come AnvilEcho.
Si ritiene che TA453 sia collegato al Corpo delle guardie rivoluzionarie islamiche (IRGC) dell'Iran, che conduce campagne di phishing mirate per promuovere gli obiettivi politici e militari del paese. I dati della ricerca indicano che circa il 60% del targeting geografico di APT42 è stato diretto a Stati Uniti e Israele, con obiettivi aggiuntivi tra cui Iran e Regno Unito
Le loro tattiche di ingegneria sociale sono sia implacabili che convincenti. Gli aggressori impersonano organizzazioni e giornalisti legittimi per coinvolgere potenziali vittime, creando gradualmente fiducia prima di intrappolarle con documenti pieni di malware o pagine di phishing di credenziali false.
Catena di phishing e ingegneria sociale multi-fase
APT42 inizialmente avrebbe coinvolto il suo obiettivo utilizzando una tattica di ingegneria sociale per organizzare un incontro video, conducendolo a una landing page in cui veniva chiesto loro di effettuare l'accesso e poi indirizzato a una pagina di phishing. Un altro approccio prevedeva l'invio di allegati PDF legittimi come parte di uno schema di ingegneria sociale per creare fiducia e incoraggiare l'interazione su piattaforme come Signal, Telegram o WhatsApp.
Gli attacchi più recenti sono iniziati il 22 luglio 2024, con l'autore della minaccia che ha contattato più indirizzi e-mail associati a una figura ebraica senza nome. Si sono spacciati per il direttore della ricerca dell'Institute for the Study of War (ISW) e hanno invitato il bersaglio a partecipare come ospite a un podcast.
In risposta alla richiesta del target, TA453 avrebbe inviato un URL DocSend protetto da password, che ha portato a un file di testo contenente un collegamento a un podcast legittimo ospitato da ISW. Le email fraudolente sono state inviate dal dominio understandingthewar.org, un tentativo di imitare il vero sito web ISW (understandingwar.org).
I ricercatori ritengono che la strategia di TA453 fosse quella di abituare il bersaglio a cliccare sui link e a inserire password, rendendolo più incline a cadere in future consegne di malware. Nei messaggi successivi, l'autore della minaccia ha inviato un URL di Google Drive che ospitava un archivio ZIP ('Podcast Plan-2024.zip'), che conteneva un file di collegamento di Windows (LNK) progettato per distribuire il toolkit BlackSmith.
AnvilEcho è una potente minaccia per la raccolta dati
AnvilEcho, fornito tramite il toolkit BlackSmith, è considerato un probabile successore dei precedenti impianti PowerShell come CharmPower, GorjolEcho, POWERSTAR e PowerLess. BlackSmith è anche progettato per presentare un documento di esca come distrazione.
È degno di nota che il nome "BlackSmith" sia stato precedentemente associato a un componente stealer del browser identificato dagli esperti di infosec all'inizio di quest'anno. Questo componente era collegato a una campagna di distribuzione di BASICSTAR, che prendeva di mira individui di alto profilo coinvolti in affari mediorientali.
AnvilEcho è un sofisticato trojan PowerShell con funzionalità estese, mirato principalmente alla raccolta di informazioni e all'esfiltrazione di dati. Le sue caratteristiche principali includono la ricognizione del sistema, l'acquisizione di schermate, il download di file remoti e il caricamento di dati sensibili tramite FTP e Dropbox.
Le campagne di phishing di TA453 sono costantemente in linea con le priorità di intelligence dell'IRGC. Questa particolare distribuzione di malware che prende di mira una figura ebraica di spicco sembra essere parte dei più ampi sforzi informatici dell'Iran contro gli interessi israeliani. TA453 rimane una minaccia persistente, concentrandosi su politici, difensori dei diritti umani, dissidenti e accademici.
