AnvilEcho Infostealer

इरानी राज्य-प्रायोजित खतरा अभिनेताहरू जुलाई 2024 को अन्तमा सुरु हुने एक प्रमुख यहूदी व्यक्तित्वलाई लक्षित गरी भाला-फिसिङ अभियानहरूसँग जोडिएको छ। आक्रमणकारीहरूको लक्ष्य एन्भिल इको भनिने नयाँ खुफिया-भेला उपकरण प्रयोग गर्नु थियो।

साइबरसुरक्षा अनुसन्धानकर्ताहरूले यस गतिविधिलाई TA453 को रूपमा पहिचान गरेका छन्, जुन साइबर सुरक्षा समुदायमा विभिन्न नामहरूले पनि चिनिन्छ, APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft), र Yellow Garuda (PwC) सहित। ।

आक्रमणकारीहरूले सुरुमा एक हानिरहित इमेल मार्फत लक्ष्यसँग सम्पर्क स्थापित गर्ने प्रयास गरे, पछि उनीहरूलाई धम्की दिने लिङ्कमा क्लिक गर्न मनाउने उद्देश्यले।

धम्की अभिनेताहरू पहिले अज्ञात मालवेयर तैनात

आक्रमण श्रृंखलाको उद्देश्य ब्ल्याकस्मिथ भनिने नयाँ मालवेयर टुलकिट तैनात गर्ने थियो, जसले पावरशेल ट्रोजनलाई AnvilEcho भनिन्छ।

TA453 इरानको इस्लामिक रिभोलुसनरी गार्ड कोर्प्स (IRGC) सँग जोडिएको मानिन्छ, जसले देशको राजनीतिक र सैन्य उद्देश्यहरू अगाडि बढाउन लक्षित फिसिङ अभियानहरू सञ्चालन गर्दछ। अनुसन्धान डेटाले संकेत गर्दछ कि लगभग 60% APT42 को भौगोलिक लक्ष्यीकरण अमेरिका र इजरायलमा निर्देशित गरिएको छ, इरान र बेलायत सहित थप लक्ष्यहरू सहित।

तिनीहरूको सामाजिक ईन्जिनियरिङ् रणनीति दुवै अथक र विश्वस्त छन्। आक्रमणकारीहरूले वैध संगठनहरू र पत्रकारहरूलाई सम्भावित पीडितहरूलाई संलग्न गराउन, मालवेयरले भरिएका कागजातहरू वा नक्कली क्रेडेन्सियल फिसिङ पृष्ठहरूमा फसाउनु अघि विश्वास निर्माण गर्नका लागि प्रतिरूपण गर्छन्।

बहु-चरण फिसिङ र सामाजिक ईन्जिनियरिङ् श्रृंखला

APT42 ले सुरुमा आफ्नो लक्ष्यलाई सामाजिक ईन्जिनियरिङ् रणनीति प्रयोग गरेर भिडियो बैठकको व्यवस्था गर्न लगाइनेछ, तिनीहरूलाई ल्यान्डिङ पृष्ठमा लैजान्छ जहाँ उनीहरूलाई लग इन गर्न प्रेरित गरियो र त्यसपछि फिसिङ पृष्ठमा निर्देशित गरियो। सिग्नल, टेलिग्राम वा व्हाट्सएप जस्ता प्लेटफर्महरूमा विश्वास निर्माण गर्न र अन्तरक्रियालाई प्रोत्साहित गर्न सामाजिक ईन्जिनियरिङ् योजनाको भागको रूपमा वैध PDF संलग्नकहरू पठाउने अर्को दृष्टिकोण समावेश छ।

सबैभन्दा भर्खरका आक्रमणहरू जुलाई 22, 2024 मा सुरु भयो, धम्की दिने अभिनेताले अज्ञात यहूदी व्यक्तित्वसँग सम्बन्धित धेरै इमेल ठेगानाहरूमा पुगेर। तिनीहरूले युद्ध अध्ययनको लागि संस्थान (ISW) को अनुसन्धान निर्देशकको रूपमा प्रस्तुत गरे र लक्ष्यलाई पोडकास्टमा अतिथिको रूपमा भाग लिन आमन्त्रित गरे।

लक्ष्यको सोधपुछको जवाफमा, TA453 ले पासवर्ड-सुरक्षित DocSend URL पठाएको रिपोर्ट गरिएको छ, जसले वैध ISW-होस्ट गरिएको पोडकास्टको लिङ्क भएको टेक्स्ट फाइलमा पुर्‍यायो। जालसाजीपूर्ण इमेलहरू Understandingthewar.org डोमेनबाट पठाइएको थियो, वास्तविक ISW वेबसाइट (understandingwar.org) को नक्कल गर्ने प्रयास।

अन्वेषकहरूले विश्वास गर्छन् कि TA453 को रणनीति लिङ्कहरूमा क्लिक गर्न र पासवर्डहरू प्रविष्ट गर्ने लक्ष्यलाई अनुकूल बनाउनु थियो, जसले तिनीहरूलाई भविष्यमा मालवेयर डेलिभरीको लागि बढी सम्भावना बनाउँछ। त्यसपछिका सन्देशहरूमा, धम्की अभिनेताले जिप अभिलेख ('Podcast Plan-2024.zip') होस्ट गर्ने Google ड्राइभ URL पठायो, जसमा BlackSmith टूलकिट डिप्लोय गर्न डिजाइन गरिएको Windows सर्टकट (LNK) फाइल थियो।

AnvilEcho एक शक्तिशाली डेटा कटाई खतरा हो

AnvilEcho, BlackSmith Toolkit मार्फत डेलिभर गरिएको, अघिल्लो PowerShell प्रत्यारोपण जस्तै CharmPower, GorjolEcho, POWERSTAR र PowerLess को सम्भावित उत्तराधिकारी मानिन्छ। ब्ल्याकस्मिथ पनि एक विचलनको रूपमा एक लालच कागजात प्रस्तुत गर्न डिजाइन गरिएको छ।

यो उल्लेखनीय छ कि 'ब्ल्याकस्मिथ' नाम यस वर्षको सुरुमा इन्फोसेक विशेषज्ञहरूले पहिचान गरेको ब्राउजर स्टिलर कम्पोनेन्टसँग जोडिएको थियो। यो कम्पोनेन्ट BASICSTAR वितरण गर्ने अभियानसँग जोडिएको थियो, मध्य पूर्वी मामिलाहरूमा संलग्न उच्च प्रोफाइल व्यक्तिहरूलाई लक्षित गर्दै।

AnvilEcho व्यापक कार्यक्षमता संग एक परिष्कृत PowerShell ट्रोजन हो, मुख्यतया खुफिया संग्रह र डाटा एक्सफिल्टेशन को उद्देश्य। यसका मुख्य विशेषताहरूमा प्रणाली टोपन, स्क्रिनसटहरू लिने, रिमोट फाइलहरू डाउनलोड गर्ने, र FTP र Dropbox मार्फत संवेदनशील डाटा अपलोड गर्ने समावेश छ।

TA453 को फिसिङ अभियानहरू लगातार IRGC को खुफिया प्राथमिकताहरूसँग पङ्क्तिबद्ध छन्। एक प्रमुख यहूदी व्यक्तित्वलाई लक्षित गर्ने यो विशेष मालवेयर डिप्लोइमेन्ट इजरायली हितहरू विरुद्ध इरानको व्यापक साइबर प्रयासहरूको हिस्सा हो जस्तो देखिन्छ। TA453 राजनीतिज्ञहरू, मानवअधिकार रक्षकहरू, असन्तुष्टहरू र शिक्षाविद्हरूमा ध्यान केन्द्रित गर्दै निरन्तर खतरा बनेको छ।