AnvilEcho Infostealer
Irano valstybės remiami grėsmių veikėjai buvo siejami su 2024 m. liepos pabaigoje prasidėjusiomis sukčiavimo kampanijomis, nukreiptomis prieš žymią žydų figūrą. Užpuolikų tikslas buvo panaudoti naują žvalgybos duomenų rinkimo įrankį, žinomą kaip AnvilEcho.
Kibernetinio saugumo tyrinėtojai šią veiklą identifikavo kaip TA453 – grupę kibernetinio saugumo bendruomenėje taip pat žinoma įvairiais pavadinimais, įskaitant APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) ir Yellow Garuda (PwC). .
Iš pradžių užpuolikai bandė užmegzti ryšį su taikiniu nekenksmingu el. paštu, kad užmegztų ryšį, siekdami vėliau įtikinti juos spustelėti grėsmingą nuorodą.
Turinys
Grėsmės veikėjai diegia anksčiau nežinomą kenkėjišką programą
Atakos grandinės tikslas buvo įdiegti naują kenkėjiškų programų rinkinį, pavadintą BlackSmith, kuris savo ruožtu pristatė PowerShell Trojos arklys, žinomas kaip AnvilEcho.
Manoma, kad TA453 yra susijęs su Irano islamo revoliucijos gvardijos korpusu (IRGC), vykdančiu tikslines sukčiavimo kampanijas, siekdama prisidėti prie šalies politinių ir karinių tikslų. Tyrimo duomenys rodo, kad maždaug 60 % APT42 geografinio taikymo buvo nukreipta į JAV ir Izraelį, o papildomi taikiniai, įskaitant Iraną ir JK.
Jų socialinės inžinerijos taktika yra negailestinga ir įtikinama. Užpuolikai apsimeta teisėtomis organizacijomis ir žurnalistais, kad įtrauktų potencialias aukas, palaipsniui didindami pasitikėjimą, prieš gaudydami jas kenkėjiškų programų apkrautais dokumentais arba suklastotais kredencialų sukčiavimo puslapiais.
Daugiapakopė sukčiavimo ir socialinės inžinerijos grandinė
APT42 iš pradžių įtraukė savo taikinį naudodamas socialinės inžinerijos taktiką, kad surengtų vaizdo susitikimą, nukreipdamas juos į nukreipimo puslapį, kuriame jie buvo raginami prisijungti, o tada nukreipti į sukčiavimo puslapį. Kitas metodas buvo teisėtų PDF priedų siuntimas kaip socialinės inžinerijos schemos dalis, siekiant sukurti pasitikėjimą ir skatinti sąveiką tokiose platformose kaip „Signal“, „Telegram“ ar „WhatsApp“.
Paskutiniai išpuoliai prasidėjo 2024 m. liepos 22 d., kai grėsmės veikėjas susisiekė su keliais el. pašto adresais, susijusiais su neįvardytu žydų asmeniu. Jie prisistatė Karo studijų instituto (ISW) tyrimų direktoriumi ir pakvietė taikinį dalyvauti podcast'o svečio teisėmis.
Pranešama, kad atsakydamas į taikinio užklausą TA453 atsiuntė slaptažodžiu apsaugotą „DocSend“ URL, kuris vedė į tekstinį failą, kuriame yra nuoroda į teisėtą ISW priglobtą podcast'ą. Apgaulingi el. laiškai buvo išsiųsti iš domeno supratimothewar.org, bandant imituoti tikrąją ISW svetainę (understandingwar.org).
Tyrėjai mano, kad TA453 strategija buvo pripratinti taikinį prie nuorodų spustelėjimo ir slaptažodžių įvedimo, todėl labiau tikėtina, kad ateityje jie negaus kenkėjiškų programų. Vėlesniuose pranešimuose grėsmės veikėjas atsiuntė „Google“ disko URL, kuriame yra ZIP archyvas („Podcast Plan-2024.zip“), kuriame buvo „Windows“ nuorodos (LNK) failas, skirtas „BlackSmith“ įrankių rinkiniui įdiegti.
AnvilEcho yra didelė duomenų rinkimo grėsmė
AnvilEcho, pristatomas per BlackSmith įrankių rinkinį, laikomas galimu ankstesnių PowerShell implantų, tokių kaip CharmPower, GorjolEcho, POWERSTAR ir PowerLess, įpėdiniu. „BlackSmith“ taip pat sukurtas taip, kad būtų galima pateikti viliojimo dokumentą, kuris atitrauktų dėmesį.
Pastebėtina, kad pavadinimas „BlackSmith“ anksčiau buvo siejamas su naršyklės vagių komponentu, kurį šiais metais nustatė infosec ekspertai. Šis komponentas buvo susietas su BASICSTAR platinimo kampanija, skirta aukšto lygio asmenims, susijusiems su Artimųjų Rytų reikalais.
AnvilEcho yra sudėtingas „PowerShell“ Trojos arklys, turintis daug funkcijų, visų pirma skirtas žvalgybos informacijai rinkti ir duomenų išfiltravimui. Pagrindinės jo funkcijos apima sistemos žvalgymą, ekrano kopijų darymą, nuotolinių failų atsisiuntimą ir jautrių duomenų įkėlimą per FTP ir „Dropbox“.
TA453 sukčiavimo kampanijos nuosekliai atitinka IRGC žvalgybos prioritetus. Atrodo, kad šis konkretus kenkėjiškų programų diegimas, nukreiptas prieš žymią žydų asmenybę, yra platesnių Irano kibernetinių pastangų prieš Izraelio interesus dalis. TA453 tebėra nuolatinė grėsmė, daugiausia dėmesio skiriant politikams, žmogaus teisių gynėjams, disidentams ir akademikams.
