앤빌에코 인포스틸러
이란 국가가 지원하는 위협 행위자들이 2024년 7월 말부터 저명한 유대인 인물을 표적으로 삼은 스피어 피싱 캠페인과 관련이 있는 것으로 밝혀졌습니다. 공격자들의 목표는 AnvilEcho라는 새로운 정보 수집 도구를 배포하는 것이었습니다.
사이버보안 연구원들은 이 활동을 TA453으로 식별했습니다. 이 그룹은 사이버보안 커뮤니티에서 APT42 (Mandiant), Charming Kitten(CrowdStrike), Damselfly(Symantec), Mint Sandstorm(Microsoft), Yellow Garuda(PwC) 등 다양한 이름으로도 알려져 있습니다.
공격자는 처음에는 무해한 이메일을 통해 대상 고객과 소통을 시도하여 신뢰를 구축한 다음, 나중에 위협적인 링크를 클릭하도록 설득하려고 했습니다.
목차
위협 행위자들이 이전에 알려지지 않은 맬웨어를 배포합니다.
공격 체인은 BlackSmith라는 새로운 맬웨어 툴킷을 배포하는 것을 목표로 했고, 이는 AnvilEcho라는 이름의 PowerShell 트로이 목마를 전달했습니다.
TA453은 이란의 이슬람 혁명 수비대(IRGC)와 연결되어 있으며, 국가의 정치적, 군사적 목표를 달성하기 위해 표적 피싱 캠페인을 수행하고 있는 것으로 여겨진다. 연구 데이터에 따르면 APT42의 지리적 타겟팅의 약 60%가 미국과 이스라엘을 대상으로 했으며, 이란과 영국을 포함한 추가 타겟이 있다.
그들의 사회 공학적 전술은 끈질기고 설득력이 있습니다. 공격자는 합법적인 조직과 언론인을 사칭하여 잠재적 피해자를 참여시키고, 악성 소프트웨어가 가득한 문서나 가짜 자격 증명 피싱 페이지로 그들을 가두기 전에 점차 신뢰를 구축합니다.
다단계 피싱 및 소셜 엔지니어링 체인
APT42는 처음에 소셜 엔지니어링 전술을 사용하여 대상과 접촉하여 화상 회의를 주선하고, 대상을 로그인하라는 메시지가 표시된 랜딩 페이지로 유도한 다음 피싱 페이지로 이동했습니다. 또 다른 접근 방식은 Signal, Telegram 또는 WhatsApp과 같은 플랫폼에서 신뢰를 구축하고 상호 작용을 장려하기 위한 소셜 엔지니어링 계획의 일환으로 합법적인 PDF 첨부 파일을 보내는 것이었습니다.
가장 최근의 공격은 2024년 7월 22일에 시작되었으며, 위협 행위자는 이름이 밝혀지지 않은 유대인 인물과 관련된 여러 이메일 주소에 연락했습니다. 그들은 전쟁 연구소(ISW)의 연구 책임자로 가장하고 대상을 팟캐스트에 게스트로 초대했습니다.
대상의 문의에 대한 응답으로 TA453은 암호로 보호된 DocSend URL을 보낸 것으로 보고되었으며, 이는 합법적인 ISW 호스팅 팟캐스트로의 링크가 포함된 텍스트 파일로 이어졌습니다. 사기성 이메일은 understandingthewar.org 도메인에서 보내졌으며, 실제 ISW 웹사이트(understandingwar.org)를 모방하려는 시도였습니다.
연구자들은 TA453의 전략이 대상을 링크 클릭과 비밀번호 입력에 익숙해지게 하여 향후 맬웨어 배포에 속을 가능성을 높이는 것이라고 생각합니다. 이후 메시지에서 위협 행위자는 ZIP 아카이브('Podcast Plan-2024.zip')를 호스팅하는 Google Drive URL을 보냈는데, 여기에는 BlackSmith 툴킷을 배포하도록 설계된 Windows 바로가기(LNK) 파일이 포함되어 있었습니다.
AnvilEcho는 강력한 데이터 수집 위협입니다
BlackSmith 툴킷을 통해 제공되는 AnvilEcho는 CharmPower, GorjolEcho, POWERSTAR 및 PowerLess와 같은 이전 PowerShell 임플란트의 후속작으로 간주됩니다. BlackSmith는 또한 유혹 문서를 방해물로 제시하도록 설계되었습니다.
'BlackSmith'라는 이름이 올해 초 정보 보안 전문가들이 발견한 브라우저 도용 구성요소와 연관되어 있다는 점은 주목할 만합니다. 이 구성요소는 중동 문제에 연루된 유명 인사를 표적으로 삼아 BASICSTAR를 배포하는 캠페인과 연관되었습니다.
AnvilEcho는 광범위한 기능을 갖춘 정교한 PowerShell 트로이 목마로, 주로 정보 수집 및 데이터 유출을 목표로 합니다. 주요 기능으로는 시스템 정찰, 스크린샷 찍기, 원격 파일 다운로드, FTP 및 Dropbox를 통한 민감한 데이터 업로드가 있습니다.
TA453의 피싱 캠페인은 IRGC의 정보 우선순위와 일관되게 일치합니다. 저명한 유대인 인물을 표적으로 삼은 이 특정 맬웨어 배포는 이스라엘의 이익에 대한 이란의 광범위한 사이버 노력의 일부인 것으로 보입니다. TA453은 정치인, 인권 옹호자, 반체제 인사 및 학계에 초점을 맞춘 지속적인 위협으로 남아 있습니다.
