AnvilEcho Infostealer
ਈਰਾਨੀ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਜੁਲਾਈ 2024 ਦੇ ਅਖੀਰ ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ ਇੱਕ ਪ੍ਰਮੁੱਖ ਯਹੂਦੀ ਸ਼ਖਸੀਅਤ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਹਮਲਾਵਰਾਂ ਦਾ ਟੀਚਾ ਇੱਕ ਨਵਾਂ ਖੁਫੀਆ-ਇਕੱਠਾ ਕਰਨ ਵਾਲਾ ਟੂਲ ਤਾਇਨਾਤ ਕਰਨਾ ਸੀ ਜਿਸਨੂੰ AnvilEcho ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸ ਗਤੀਵਿਧੀ ਦੀ ਪਛਾਣ TA453 ਵਜੋਂ ਕੀਤੀ ਹੈ, ਇੱਕ ਸਮੂਹ ਜਿਸ ਨੂੰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਨਾਵਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft), ਅਤੇ Yellow Garuda (PwC) ਸ਼ਾਮਲ ਹਨ। .
ਹਮਲਾਵਰਾਂ ਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਤਾਲਮੇਲ ਬਣਾਉਣ ਲਈ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਈਮੇਲ ਰਾਹੀਂ ਨਿਸ਼ਾਨਾ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਬਾਅਦ ਵਿੱਚ ਉਹਨਾਂ ਨੂੰ ਧਮਕੀ ਭਰੇ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਮਨਾਉਣ ਦੇ ਇਰਾਦੇ ਨਾਲ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਪਹਿਲਾਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ
ਅਟੈਕ ਚੇਨ ਦਾ ਉਦੇਸ਼ ਬਲੈਕਸਮਿਥ ਨਾਮਕ ਇੱਕ ਨਵੀਂ ਮਾਲਵੇਅਰ ਟੂਲਕਿੱਟ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਸੀ, ਜਿਸਨੇ ਬਦਲੇ ਵਿੱਚ ਇੱਕ ਪਾਵਰਸ਼ੇਲ ਟਰੋਜਨ ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਿਸਨੂੰ AnvilEcho ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
TA453 ਨੂੰ ਈਰਾਨ ਦੇ ਇਸਲਾਮਿਕ ਰੈਵੋਲਿਊਸ਼ਨਰੀ ਗਾਰਡ ਕੋਰ (IRGC) ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਦੇਸ਼ ਦੇ ਰਾਜਨੀਤਿਕ ਅਤੇ ਫੌਜੀ ਉਦੇਸ਼ਾਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਨਿਸ਼ਾਨਾ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਚਲਾ ਰਿਹਾ ਹੈ। ਖੋਜ ਡੇਟਾ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ APT42 ਦੇ ਭੂਗੋਲਿਕ ਨਿਸ਼ਾਨੇ ਦਾ ਲਗਭਗ 60% ਅਮਰੀਕਾ ਅਤੇ ਇਜ਼ਰਾਈਲ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਇਰਾਨ ਅਤੇ ਯੂਕੇ ਸਮੇਤ ਵਾਧੂ ਟੀਚੇ ਹਨ।
ਉਹਨਾਂ ਦੀਆਂ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਦੀਆਂ ਚਾਲਾਂ ਬੇਅੰਤ ਅਤੇ ਯਕੀਨਨ ਦੋਵੇਂ ਹਨ। ਹਮਲਾਵਰ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਜਾਇਜ਼ ਸੰਸਥਾਵਾਂ ਅਤੇ ਪੱਤਰਕਾਰਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ, ਹੌਲੀ ਹੌਲੀ ਉਹਨਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਨਾਲ ਭਰੇ ਦਸਤਾਵੇਜ਼ਾਂ ਜਾਂ ਜਾਅਲੀ ਪ੍ਰਮਾਣ ਪੱਤਰ ਫਿਸ਼ਿੰਗ ਪੰਨਿਆਂ ਨਾਲ ਫਸਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਵਿਸ਼ਵਾਸ ਪੈਦਾ ਕਰਦੇ ਹਨ।
ਮਲਟੀ-ਸਟੇਜ ਫਿਸ਼ਿੰਗ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਚੇਨ
APT42 ਸ਼ੁਰੂ ਵਿੱਚ ਇੱਕ ਵੀਡੀਓ ਮੀਟਿੰਗ ਦਾ ਪ੍ਰਬੰਧ ਕਰਨ ਲਈ ਇੱਕ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਆਪਣੇ ਟੀਚੇ ਨੂੰ ਸ਼ਾਮਲ ਕਰੇਗਾ, ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਲੈਂਡਿੰਗ ਪੰਨੇ ਵੱਲ ਲੈ ਜਾਵੇਗਾ ਜਿੱਥੇ ਉਹਨਾਂ ਨੂੰ ਲੌਗ ਇਨ ਕਰਨ ਲਈ ਕਿਹਾ ਗਿਆ ਸੀ ਅਤੇ ਫਿਰ ਇੱਕ ਫਿਸ਼ਿੰਗ ਪੰਨੇ ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਸਿਗਨਲ, ਟੈਲੀਗ੍ਰਾਮ ਜਾਂ ਵਟਸਐਪ ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਵਿਸ਼ਵਾਸ ਪੈਦਾ ਕਰਨ ਅਤੇ ਆਪਸੀ ਤਾਲਮੇਲ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਲਈ ਇੱਕ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਸਕੀਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਜਾਇਜ਼ PDF ਅਟੈਚਮੈਂਟ ਭੇਜਣਾ ਸ਼ਾਮਲ ਹੈ।
ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਹਮਲੇ 22 ਜੁਲਾਈ, 2024 ਨੂੰ ਸ਼ੁਰੂ ਹੋਏ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਇੱਕ ਬੇਨਾਮ ਯਹੂਦੀ ਸ਼ਖਸੀਅਤ ਨਾਲ ਜੁੜੇ ਕਈ ਈਮੇਲ ਪਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ। ਉਨ੍ਹਾਂ ਨੇ ਇੰਸਟੀਚਿਊਟ ਫਾਰ ਸਟੱਡੀ ਆਫ਼ ਵਾਰ (ISW) ਦੇ ਖੋਜ ਨਿਰਦੇਸ਼ਕ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਅਤੇ ਟੀਚੇ ਨੂੰ ਪੌਡਕਾਸਟ 'ਤੇ ਮਹਿਮਾਨ ਵਜੋਂ ਹਿੱਸਾ ਲੈਣ ਲਈ ਸੱਦਾ ਦਿੱਤਾ।
ਟਾਰਗੇਟ ਦੀ ਪੁੱਛਗਿੱਛ ਦੇ ਜਵਾਬ ਵਿੱਚ, TA453 ਨੇ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ DocSend URL ਭੇਜੇ ਜਾਣ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਹੈ, ਜਿਸ ਨਾਲ ਇੱਕ ਟੈਕਸਟ ਫਾਈਲ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼ ISW-ਹੋਸਟ ਕੀਤੇ ਪੌਡਕਾਸਟ ਦਾ ਲਿੰਕ ਸ਼ਾਮਲ ਹੈ। ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਡੋਮੇਨ ਸਮਝ ਤੋਂ ਭੇਜੀਆਂ ਗਈਆਂ ਸਨ, ਅਸਲ ISW ਵੈੱਬਸਾਈਟ (understandingwar.org) ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼।
ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ TA453 ਦੀ ਰਣਨੀਤੀ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਅਤੇ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਦੇ ਟੀਚੇ ਨੂੰ ਅਨੁਕੂਲ ਬਣਾਉਣਾ ਸੀ, ਜਿਸ ਨਾਲ ਭਵਿੱਖ ਵਿੱਚ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਲਈ ਉਹਨਾਂ ਦੇ ਡਿੱਗਣ ਦੀ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ। ਬਾਅਦ ਦੇ ਸੁਨੇਹਿਆਂ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ('ਪੋਡਕਾਸਟ ਪਲਾਨ-2024.zip') ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਦੇ ਹੋਏ ਇੱਕ Google ਡਰਾਈਵ URL ਭੇਜਿਆ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ (LNK) ਫਾਈਲ ਸ਼ਾਮਲ ਸੀ ਜੋ BlackSmith ਟੂਲਕਿੱਟ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਸੀ।
AnvilEcho ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਡਾਟਾ-ਹੜਵੈਸਟਿੰਗ ਖ਼ਤਰਾ ਹੈ
AnvilEcho, ਬਲੈਕਸਮਿਥ ਟੂਲਕਿੱਟ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀ ਗਈ, ਨੂੰ ਪਿਛਲੇ ਪਾਵਰਸ਼ੇਲ ਇਮਪਲਾਂਟ ਜਿਵੇਂ ਕਿ CharmPower, GorjolEcho, POWERSTAR ਅਤੇ Powerless ਦਾ ਸੰਭਾਵਿਤ ਉੱਤਰਾਧਿਕਾਰੀ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਬਲੈਕਸਮਿਥ ਨੂੰ ਇੱਕ ਭੁਲੇਖੇ ਵਜੋਂ ਇੱਕ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕਰਨ ਲਈ ਵੀ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ 'ਬਲੈਕਸਮਿਥ' ਨਾਮ ਪਹਿਲਾਂ ਇਸ ਸਾਲ ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ infosec ਮਾਹਰਾਂ ਦੁਆਰਾ ਪਛਾਣੇ ਗਏ ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਸਟੀਲਰ ਕੰਪੋਨੈਂਟ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਇਹ ਕੰਪੋਨੈਂਟ ਮੱਧ ਪੂਰਬੀ ਮਾਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ BASICSTAR ਨੂੰ ਵੰਡਣ ਵਾਲੀ ਇੱਕ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ।
AnvilEcho ਵਿਆਪਕ ਕਾਰਜਕੁਸ਼ਲਤਾ ਵਾਲਾ ਇੱਕ ਵਧੀਆ PowerShell ਟਰੋਜਨ ਹੈ, ਜਿਸਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਅਤੇ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਹੈ। ਇਸ ਦੀਆਂ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚ ਸਿਸਟਮ ਖੋਜ, ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣਾ, ਰਿਮੋਟ ਫਾਈਲਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨਾ, ਅਤੇ FTP ਅਤੇ ਡ੍ਰੌਪਬਾਕਸ ਦੁਆਰਾ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਅਪਲੋਡ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।
TA453 ਦੀਆਂ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਲਗਾਤਾਰ IRGC ਦੀਆਂ ਖੁਫੀਆ ਤਰਜੀਹਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਹਨ। ਇੱਕ ਪ੍ਰਮੁੱਖ ਯਹੂਦੀ ਸ਼ਖਸੀਅਤ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇਹ ਵਿਸ਼ੇਸ਼ ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ ਇਜ਼ਰਾਈਲੀ ਹਿੱਤਾਂ ਦੇ ਵਿਰੁੱਧ ਈਰਾਨ ਦੇ ਵਿਆਪਕ ਸਾਈਬਰ ਯਤਨਾਂ ਦਾ ਹਿੱਸਾ ਜਾਪਦੀ ਹੈ। TA453 ਇੱਕ ਸਥਾਈ ਖ਼ਤਰਾ ਬਣਿਆ ਹੋਇਆ ਹੈ, ਸਿਆਸਤਦਾਨਾਂ, ਮਨੁੱਖੀ ਅਧਿਕਾਰਾਂ ਦੇ ਰਾਖਿਆਂ, ਅਸੰਤੁਸ਼ਟਾਂ ਅਤੇ ਸਿੱਖਿਆ ਸ਼ਾਸਤਰੀਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਤ ਕਰਦਾ ਹੈ।
