Złodziej informacji AnvilEcho
Irańscy aktorzy zagrożeń sponsorowani przez państwo zostali powiązani z kampaniami spear-phishingu skierowanymi na znaną osobistość żydowską, które rozpoczęły się pod koniec lipca 2024 r. Celem atakujących było wdrożenie nowego narzędzia do gromadzenia informacji wywiadowczych znanego jako AnvilEcho.
Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali tę aktywność jako TA453. Grupa ta w społeczności zajmującej się cyberbezpieczeństwem znana jest również pod różnymi nazwami, w tym APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) i Yellow Garuda (PwC).
Początkowo atakujący próbowali nawiązać kontakt z ofiarą za pośrednictwem nieszkodliwego e-maila, aby nawiązać kontakt, a następnie zamierzali przekonać ją do kliknięcia niebezpiecznego linku.
Spis treści
Aktorzy zagrożeń wdrażają nieznane dotąd złośliwe oprogramowanie
Celem ataku było wdrożenie nowego zestawu narzędzi do złośliwego oprogramowania o nazwie BlackSmith, który z kolei dostarczył trojana dla programu PowerShell znanego jako AnvilEcho.
Uważa się, że TA453 jest powiązany z Korpusem Strażników Rewolucji Islamskiej (IRGC) Iranu, prowadzącym ukierunkowane kampanie phishingowe w celu realizacji politycznych i wojskowych celów kraju. Dane badawcze wskazują, że około 60% geograficznego targetowania APT42 było skierowane na USA i Izrael, a dodatkowe cele obejmowały Iran i Wielką Brytanię
Ich taktyki inżynierii społecznej są zarówno nieustępliwe, jak i przekonujące. Atakujący podszywają się pod legalne organizacje i dziennikarzy, aby zaangażować potencjalne ofiary, stopniowo budując zaufanie, zanim złapią je w pułapkę za pomocą dokumentów zawierających złośliwe oprogramowanie lub fałszywych stron phishingowych z danymi uwierzytelniającymi.
Wieloetapowy łańcuch phishingu i inżynierii społecznej
APT42 początkowo angażował swój cel, stosując taktykę inżynierii społecznej, aby zorganizować spotkanie wideo, kierując go na stronę docelową, na której był proszony o zalogowanie się, a następnie kierowany na stronę phishingową. Inne podejście polegało na wysyłaniu legalnych załączników PDF jako części schematu inżynierii społecznej w celu budowania zaufania i zachęcania do interakcji na platformach takich jak Signal, Telegram lub WhatsApp.
Najnowsze ataki rozpoczęły się 22 lipca 2024 r., kiedy to sprawca zagrożenia skontaktował się z wieloma adresami e-mail powiązanymi z anonimową postacią żydowską. Podszywał się pod dyrektora ds. badań w Institute for the Study of War (ISW) i zaprosił cel do udziału jako gość w podcaście.
W odpowiedzi na zapytanie celu, TA453 miał wysłać chroniony hasłem adres URL DocSend, który prowadził do pliku tekstowego zawierającego link do legalnego podcastu hostowanego przez ISW. Fałszywe e-maile zostały wysłane z domeny understandingthewar.org, co stanowiło próbę naśladowania rzeczywistej witryny ISW (understandingwar.org).
Badacze uważają, że strategia TA453 polegała na przyzwyczajeniu celu do klikania linków i wprowadzania haseł, co zwiększało prawdopodobieństwo, że wpadnie on w pułapkę przyszłych dostaw złośliwego oprogramowania. W kolejnych wiadomościach sprawca zagrożenia wysłał adres URL Dysku Google, na którym znajdowało się archiwum ZIP („Podcast Plan-2024.zip”), zawierające plik skrótu systemu Windows (LNK) zaprojektowany do wdrażania zestawu narzędzi BlackSmith.
AnvilEcho to potężne zagrożenie związane ze zbieraniem danych
AnvilEcho, dostarczane za pośrednictwem zestawu narzędzi BlackSmith, jest uważane za prawdopodobnego następcę poprzednich implantów PowerShell, takich jak CharmPower, GorjolEcho, POWERSTAR i PowerLess. BlackSmith jest również zaprojektowany do prezentowania dokumentu wabiącego jako rozproszenia uwagi.
Warto zauważyć, że nazwa „BlackSmith” była wcześniej kojarzona ze składnikiem przeglądarki kradnącej, zidentyfikowanym przez ekspertów ds. bezpieczeństwa informacji na początku tego roku. Składnik ten był powiązany z kampanią dystrybuującą BASICSTAR, skierowaną do osób o wysokiej renomie zaangażowanych w sprawy Bliskiego Wschodu.
AnvilEcho to wyrafinowany trojan PowerShell o rozbudowanej funkcjonalności, którego głównym celem jest zbieranie informacji wywiadowczych i eksfiltracja danych. Jego kluczowe funkcje obejmują rozpoznanie systemu, robienie zrzutów ekranu, pobieranie zdalnych plików i przesyłanie poufnych danych za pośrednictwem FTP i Dropbox.
Kampanie phishingowe TA453 są konsekwentnie zgodne z priorytetami wywiadowczymi IRGC. To konkretne wdrożenie złośliwego oprogramowania skierowane przeciwko znanej postaci żydowskiej wydaje się być częścią szerszych działań cybernetycznych Iranu przeciwko interesom Izraela. TA453 pozostaje stałym zagrożeniem, skupiającym się na politykach, obrońcach praw człowieka, dysydentach i akademikach.
