AambeeldEcho Infostealer
Door de Iraanse staat gesponsorde dreigingsactoren worden in verband gebracht met spear-phishingcampagnes die vanaf eind juli 2024 gericht waren op een prominente Joodse figuur. Het doel van de aanvallers was om een nieuw hulpmiddel voor het verzamelen van inlichtingen te implementeren, genaamd AnvilEcho.
Cybersecurityonderzoekers hebben deze activiteit geïdentificeerd als TA453, een groep die in de cybersecuritygemeenschap ook bekend is onder verschillende namen, waaronder APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) en Yellow Garuda (PwC).
De aanvallers probeerden in eerste instantie via een onschuldige e-mail contact te leggen met het doelwit om een band op te bouwen. Ze wilden de aanvaller later overtuigen om op een bedreigende link te klikken.
Inhoudsopgave
Dreigingsactoren implementeren voorheen onbekende malware
De aanvalsketen was gericht op het inzetten van een nieuwe malwaretoolkit genaamd BlackSmith, die op zijn beurt een PowerShell-trojan genaamd AnvilEcho verspreidde.
Er wordt aangenomen dat TA453 gelinkt is aan het Iraanse Islamitische Revolutionaire Garde Korps (IRGC), dat gerichte phishingcampagnes uitvoert om de politieke en militaire doelen van het land te bevorderen. Onderzoeksgegevens geven aan dat ongeveer 60% van de geografische targeting van APT42 gericht is op de VS en Israël, met aanvullende doelen waaronder Iran en het VK
Hun social engineering-tactieken zijn zowel meedogenloos als overtuigend. De aanvallers doen zich voor als legitieme organisaties en journalisten om potentiële slachtoffers te betrekken, en bouwen geleidelijk vertrouwen op voordat ze hen vangen met documenten vol malware of nep-phishingpagina's met inloggegevens.
Phishing- en social engineering-keten in meerdere fasen
APT42 zou hun doelwit aanvankelijk benaderen met behulp van een social engineering-tactiek om een videovergadering te regelen, die hen naar een landingspagina leidde waar ze werden gevraagd in te loggen en vervolgens werden doorgestuurd naar een phishingpagina. Een andere aanpak omvatte het verzenden van legitieme PDF-bijlagen als onderdeel van een social engineering-schema om vertrouwen op te bouwen en interactie op platforms zoals Signal, Telegram of WhatsApp aan te moedigen.
De meest recente aanvallen begonnen op 22 juli 2024, waarbij de dreigingsactor contact opnam met meerdere e-mailadressen die gekoppeld waren aan een anonieme Joodse figuur. Ze deden zich voor als de onderzoeksdirecteur van het Institute for the Study of War (ISW) en nodigden het doelwit uit om als gast deel te nemen aan een podcast.
Naar aanleiding van de vraag van het doelwit zou TA453 een met een wachtwoord beveiligde DocSend URL hebben verzonden, die leidde naar een tekstbestand met een link naar een legitieme door ISW gehoste podcast. De frauduleuze e-mails werden verzonden vanaf het domein understandingthewar.org, een poging om de echte ISW-website (understandingwar.org) na te bootsen.
Onderzoekers geloven dat de strategie van TA453 was om het doelwit te laten wennen aan het klikken op links en het invoeren van wachtwoorden, waardoor ze waarschijnlijker in de val zouden trappen van toekomstige malware-leveringen. In daaropvolgende berichten stuurde de dreigingsactor een Google Drive-URL met een ZIP-archief ('Podcast Plan-2024.zip'), dat een Windows-snelkoppeling (LNK) bevatte die was ontworpen om de BlackSmith-toolkit te implementeren.
AnvilEcho is een krachtige bedreiging voor het verzamelen van gegevens
AnvilEcho, geleverd via de BlackSmith-toolkit, wordt gezien als een waarschijnlijke opvolger van eerdere PowerShell-implantaten zoals CharmPower, GorjolEcho, POWERSTAR en PowerLess. BlackSmith is ook ontworpen om een lokkertje te presenteren als afleiding.
Het is opmerkelijk dat de naam 'BlackSmith' eerder dit jaar in verband is gebracht met een browser-stealercomponent die door infosec-experts is geïdentificeerd. Deze component werd gekoppeld aan een campagne die BASICSTAR verspreidde, gericht op vooraanstaande personen die betrokken waren bij zaken in het Midden-Oosten.
AnvilEcho is een geavanceerde PowerShell-trojan met uitgebreide functionaliteit, voornamelijk gericht op het verzamelen van inlichtingen en het exfiltreren van gegevens. De belangrijkste functies zijn onder meer systeemverkenning, het maken van screenshots, het downloaden van externe bestanden en het uploaden van gevoelige gegevens via FTP en Dropbox.
De phishingcampagnes van TA453 sluiten consequent aan bij de inlichtingenprioriteiten van de IRGC. Deze specifieke malware-implementatie die gericht is op een prominente Joodse figuur, lijkt deel uit te maken van de bredere cyberinspanningen van Iran tegen Israëlische belangen. TA453 blijft een aanhoudende bedreiging, gericht op politici, mensenrechtenverdedigers, dissidenten en academici.
