AnvilEcho Infostealer
Irānas valsts sponsorētie draudu dalībnieki ir saistīti ar pikšķerēšanas kampaņām, kuru mērķis ir 2024. gada jūlija beigās pret kādu ievērojamu ebreju personību. Uzbrucēju mērķis bija izvietot jaunu izlūkdatu vākšanas rīku, kas pazīstams kā AnvilEcho.
Kiberdrošības pētnieki ir identificējuši šo darbību kā TA453, grupu, kas kiberdrošības kopienā pazīstama arī ar dažādiem nosaukumiem, tostarp APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) un Yellow Garuda (PwC). .
Uzbrucēji sākotnēji mēģināja nodibināt saziņu ar mērķi, izmantojot nekaitīgu e-pastu, lai izveidotu saikni, lai vēlāk viņus pārliecinātu noklikšķināt uz draudošas saites.
Satura rādītājs
Draudu dalībnieki izvieto iepriekš nezināmu ļaunprātīgu programmatūru
Uzbrukuma ķēdes mērķis bija izvietot jaunu ļaunprātīgas programmatūras rīku komplektu ar nosaukumu BlackSmith, kas savukārt nodrošināja PowerShell Trojas zirgu, kas pazīstams kā AnvilEcho.
Tiek uzskatīts, ka TA453 ir saistīts ar Irānas Islāma revolūcijas gvardes korpusu (IRGC), kas veic mērķtiecīgas pikšķerēšanas kampaņas, lai veicinātu valsts politisko un militāro mērķu sasniegšanu. Pētījuma dati liecina, ka aptuveni 60% no APT42 ģeogrāfiskās mērķauditorijas atlases ir vērsti uz ASV un Izraēlu, ar papildu mērķiem, tostarp Irānu un Apvienoto Karalisti.
Viņu sociālās inženierijas taktika ir gan nerimstoša, gan pārliecinoša. Uzbrucēji uzdodas par likumīgām organizācijām un žurnālistiem, lai iesaistītu potenciālos upurus, pakāpeniski veidojot uzticību, pirms iespiež tos ar ļaunprātīgu programmatūru saturošiem dokumentiem vai viltotām pikšķerēšanas lapām.
Daudzpakāpju pikšķerēšanas un sociālās inženierijas ķēde
Sākotnēji APT42 piesaistīja savu mērķi, izmantojot sociālās inženierijas taktiku, lai organizētu video sapulci, novirzot viņus uz galveno lapu, kurā viņiem tika piedāvāts pieteikties un pēc tam novirzīts uz pikšķerēšanas lapu. Vēl viena pieeja ietvēra likumīgu PDF pielikumu nosūtīšanu kā daļu no sociālās inženierijas shēmas, lai veidotu uzticību un veicinātu mijiedarbību tādās platformās kā Signal, Telegram vai WhatsApp.
Pēdējie uzbrukumi sākās 2024. gada 22. jūlijā, draudu izpildītājam sazinoties ar vairākām e-pasta adresēm, kas saistītas ar vārdā nenosauktu ebreju personību. Viņi uzdevās par Kara izpētes institūta (ISW) pētniecības direktoru un uzaicināja mērķi piedalīties podkāstā kā viesi.
Atbildot uz mērķa vaicājumu, tiek ziņots, ka TA453 ir nosūtījis ar paroli aizsargātu DocSend URL, kas noveda pie teksta faila, kurā bija saite uz likumīgu ISW mitinātu Podcast apraidi. Krāpnieciskie e-pasta ziņojumi tika nosūtīti no domēna supratingthewar.org, mēģinot atdarināt faktisko ISW vietni (understandingwar.org).
Pētnieki uzskata, ka TA453 stratēģija bija pieradināt mērķi noklikšķināt uz saitēm un ievadīt paroles, tādējādi palielinot iespējamību, ka nākotnē tiks piegādāta ļaunprātīga programmatūra. Nākamajos ziņojumos draudu izpildītājs nosūtīja Google diska URL, kurā mitināts ZIP arhīvs (“Podcast Plan-2024.zip”), kurā bija Windows saīsnes (LNK) fails, kas paredzēts BlackSmith rīkkopas izvietošanai.
AnvilEcho ir spēcīgs datu ieguves drauds
AnvilEcho, kas tiek piegādāts, izmantojot BlackSmith rīku komplektu, tiek uzskatīts par iespējamu iepriekšējo PowerShell implantu, piemēram, CharmPower, GorjolEcho, POWERSTAR un PowerLess, pēcteci. BlackSmith ir arī izstrādāts, lai parādītu pievilināšanas dokumentu kā uzmanību.
Jāatzīmē, ka nosaukums "BlackSmith" iepriekš ir bijis saistīts ar pārlūkprogrammas zagšanas komponentu, ko šogad atklāja infosec eksperti. Šis komponents bija saistīts ar BASICSTAR izplatīšanas kampaņu, kuras mērķauditorija bija augsta līmeņa personas, kas iesaistītas Tuvo Austrumu lietās.
AnvilEcho ir izsmalcināts PowerShell Trojas zirgs ar plašu funkcionalitāti, kas galvenokārt ir paredzēts izlūkdatu vākšanai un datu izfiltrēšanai. Tās galvenās funkcijas ietver sistēmas izpēti, ekrānuzņēmumu uzņemšanu, attālo failu lejupielādi un sensitīvu datu augšupielādi, izmantojot FTP un Dropbox.
TA453 pikšķerēšanas kampaņas konsekventi atbilst IRGC izlūkošanas prioritātēm. Šķiet, ka šī konkrētā ļaundabīgās programmatūras izvietošana, kas vērsta pret ievērojamu ebreju personību, ir daļa no plašākiem Irānas kiberpasākumiem pret Izraēlas interesēm. TA453 joprojām ir pastāvīgs drauds, koncentrējoties uz politiķiem, cilvēktiesību aizstāvjiem, disidentiem un akadēmiķiem.
