AnvilEcho Infostealer

Aktor ancaman tajaan negara Iran telah dikaitkan dengan kempen pancingan lembing yang bertujuan untuk tokoh Yahudi terkemuka bermula pada akhir Julai 2024. Matlamat penyerang adalah untuk menggunakan alat pengumpulan risikan baharu yang dikenali sebagai AnvilEcho.

Penyelidik keselamatan siber telah mengenal pasti aktiviti ini sebagai TA453, sebuah kumpulan yang juga dikenali dalam komuniti keselamatan siber dengan pelbagai nama, termasuk APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft), dan Yellow Garuda (PwC) .

Penyerang pada mulanya cuba menjalin komunikasi dengan sasaran melalui e-mel yang tidak berbahaya untuk membina hubungan, dengan niat kemudian meyakinkan mereka untuk mengklik pada pautan yang mengancam.

Aktor Ancaman Menyebarkan Perisian Hasad Tidak Diketahui Sebelum ini

Rantaian serangan bertujuan untuk menggunakan kit alat perisian hasad baharu yang dipanggil BlackSmith, yang seterusnya menghantar Trojan PowerShell yang dikenali sebagai AnvilEcho.

TA453 dipercayai dikaitkan dengan Kor Pengawal Revolusi Islam Iran (IRGC), menjalankan kempen pancingan data yang disasarkan untuk memajukan objektif politik dan ketenteraan negara itu. Data penyelidikan menunjukkan bahawa kira-kira 60% daripada penyasaran geografi APT42 telah ditujukan kepada AS dan Israel, dengan sasaran tambahan termasuk Iran dan UK

Taktik kejuruteraan sosial mereka tidak henti-henti dan meyakinkan. Penyerang menyamar sebagai organisasi dan wartawan yang sah untuk melibatkan mangsa yang berpotensi, secara beransur-ansur membina kepercayaan sebelum memerangkap mereka dengan dokumen sarat perisian hasad atau halaman pancingan data bukti kelayakan palsu.

Pancingan data berbilang peringkat dan Rantaian Kejuruteraan Sosial

APT42 pada mulanya akan melibatkan sasaran mereka menggunakan taktik kejuruteraan sosial untuk mengatur mesyuarat video, membawa mereka ke halaman pendaratan di mana mereka digesa untuk log masuk dan kemudian diarahkan ke halaman pancingan data. Pendekatan lain melibatkan penghantaran lampiran PDF yang sah sebagai sebahagian daripada skim kejuruteraan sosial untuk membina kepercayaan dan menggalakkan interaksi pada platform seperti Signal, Telegram atau WhatsApp.

Serangan terbaharu bermula pada 22 Julai 2024, dengan pelakon ancaman itu menghubungi berbilang alamat e-mel yang dikaitkan dengan tokoh Yahudi yang tidak dinamakan. Mereka menyamar sebagai Pengarah Penyelidikan Institut Kajian Perang (ISW) dan menjemput sasaran untuk mengambil bahagian sebagai tetamu di podcast.

Sebagai tindak balas kepada pertanyaan sasaran, TA453 dilaporkan telah menghantar URL DocSend yang dilindungi kata laluan, yang membawa kepada fail teks yang mengandungi pautan ke podcast yang dihoskan ISW yang sah. E-mel penipuan telah dihantar daripada domain understandingthewar.org, percubaan untuk meniru tapak web ISW sebenar (understandingwar.org).

Penyelidik percaya strategi TA453 adalah untuk menyesuaikan sasaran dengan mengklik pada pautan dan memasukkan kata laluan, menjadikan mereka lebih cenderung untuk menerima penghantaran perisian hasad pada masa hadapan. Dalam mesej berikutnya, pelaku ancaman menghantar URL Google Drive yang mengehos arkib ZIP ('Podcast Plan-2024.zip'), yang mengandungi fail pintasan Windows (LNK) yang direka untuk menggunakan kit alat BlackSmith.

AnvilEcho ialah Ancaman Pengambilan Data yang Ampuh

AnvilEcho, yang dihantar melalui kit alat BlackSmith, dianggap sebagai pengganti implan PowerShell sebelumnya seperti CharmPower, GorjolEcho, POWERSTAR dan PowerLess. BlackSmith juga direka untuk membentangkan dokumen gewang sebagai gangguan.

Perlu diperhatikan bahawa nama 'BlackSmith' sebelum ini telah dikaitkan dengan komponen pencuri pelayar yang dikenal pasti oleh pakar infosec awal tahun ini. Komponen ini dikaitkan dengan kempen mengedar BASICSTAR, menyasarkan individu berprofil tinggi yang terlibat dalam hal ehwal Timur Tengah.

AnvilEcho ialah trojan PowerShell yang canggih dengan fungsi yang luas, terutamanya bertujuan untuk pengumpulan risikan dan penyusutan data. Ciri utamanya termasuk peninjauan sistem, mengambil tangkapan skrin, memuat turun fail jauh dan memuat naik data sensitif melalui FTP dan Dropbox.

Kempen pancingan data TA453 secara konsisten sejajar dengan keutamaan perisikan IRGC. Penggunaan perisian hasad khusus ini yang menyasarkan seorang tokoh Yahudi yang terkenal nampaknya merupakan sebahagian daripada usaha siber Iran yang lebih luas terhadap kepentingan Israel. TA453 kekal sebagai ancaman berterusan, memfokuskan kepada ahli politik, pembela hak asasi manusia, penentang dan ahli akademik.