AnvilEcho Infostealer

Iranske statsstøttede trusselaktører har blitt koblet til spyd-phishing-kampanjer rettet mot en fremtredende jødisk skikkelse som startet i slutten av juli 2024. Angripernes mål var å distribuere et nytt verktøy for etterretningsinnsamling kjent som AnvilEcho.

Cybersikkerhetsforskere har identifisert denne aktiviteten som TA453, en gruppe også kjent i nettsikkerhetsmiljøet under forskjellige navn, inkludert APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) og Yellow Garuda (PwC) .

Angriperne forsøkte først å etablere kommunikasjon med målet gjennom en ufarlig e-post for å bygge rapport, med den hensikt å senere overbevise dem om å klikke på en truende lenke.

Threat Actors distribuerer tidligere ukjent skadelig programvare

Angrepskjeden hadde som mål å distribuere et nytt malware-verktøysett kalt BlackSmith, som igjen leverte en PowerShell-trojan kjent som AnvilEcho.

TA453 antas å være knyttet til Irans Islamic Revolutionary Guard Corps (IRGC), som gjennomfører målrettede phishing-kampanjer for å fremme landets politiske og militære mål. Forskningsdata indikerer at omtrent 60 % av APT42s geografiske målretting har vært rettet mot USA og Israel, med ytterligere mål inkludert Iran og Storbritannia

Deres sosiale ingeniørtaktikk er både nådeløs og overbevisende. Angriperne utgir seg for å være legitime organisasjoner og journalister for å engasjere potensielle ofre, gradvis bygge tillit før de fanger dem med malware-ladede dokumenter eller falske phishing-sider.

Flertrinns phishing og sosial ingeniørkjede

APT42 ville i utgangspunktet engasjere målet sitt ved å bruke en sosial ingeniør-taktikk for å arrangere et videomøte, og lede dem til en landingsside hvor de ble bedt om å logge på og deretter ledet til en phishing-side. En annen tilnærming innebar å sende legitime PDF-vedlegg som en del av et sosialt ingeniøropplegg for å bygge tillit og oppmuntre til interaksjon på plattformer som Signal, Telegram eller WhatsApp.

De siste angrepene begynte 22. juli 2024, da trusselaktøren nådde ut til flere e-postadresser knyttet til en ikke navngitt jødisk figur. De stilte som forskningsdirektør for Institute for the Study of War (ISW) og inviterte målet til å delta som gjest på en podcast.

Som svar på målets henvendelse er TA453 rapportert å ha sendt en passordbeskyttet DocSend URL, som førte til en tekstfil som inneholder en lenke til en legitim ISW-vertsbasert podcast. De falske e-postene ble sendt fra domenet understandingthewar.org, et forsøk på å etterligne det faktiske ISW-nettstedet (understandingwar.org).

Forskere mener TA453s strategi var å akklimatisere målet til å klikke på lenker og skrive inn passord, noe som gjør dem mer sannsynlig å falle for fremtidige leveringer av skadelig programvare. I påfølgende meldinger sendte trusselaktøren en Google Drive-URL som var vert for et ZIP-arkiv ('Podcast Plan-2024.zip'), som inneholdt en Windows-snarveisfil (LNK) designet for å distribuere BlackSmith-verktøysettet.

AnvilEcho er en potensiell datainnsamlingstrussel

AnvilEcho, levert via BlackSmith-verktøysettet, regnes som en sannsynlig etterfølger til tidligere PowerShell-implantater som CharmPower, GorjolEcho, POWERSTAR og PowerLess. BlackSmith er også designet for å presentere et lokkedokument som en distraksjon.

Det er bemerkelsesverdig at navnet 'BlackSmith' tidligere har vært assosiert med en nettleser-tyver-komponent identifisert av infosec-eksperter tidligere i år. Denne komponenten var knyttet til en kampanje som distribuerte BASICSTAR, rettet mot høyprofilerte personer involvert i Midtøsten-saker.

AnvilEcho er en sofistikert PowerShell-trojaner med omfattende funksjonalitet, primært rettet mot intelligensinnsamling og dataeksfiltrering. Nøkkelfunksjonene inkluderer systemrekognosering, ta skjermbilder, nedlasting av eksterne filer og opplasting av sensitive data via FTP og Dropbox.

TA453s phishing-kampanjer er konsekvent i tråd med etterretningsprioriteringene til IRGC. Denne spesielle utplasseringen av skadelig programvare rettet mot en fremtredende jødisk skikkelse ser ut til å være en del av Irans bredere cyberarbeid mot israelske interesser. TA453 er fortsatt en vedvarende trussel, med fokus på politikere, menneskerettighetsforkjempere, dissidenter og akademikere.