AnvilEcho Infostealer
Agentes de ameaças patrocinados pelo estado iraniano foram vinculados a campanhas de spear-phishing direcionadas a uma importante figura judaica a partir do final de julho de 2024. O objetivo dos invasores era implantar uma nova ferramenta de coleta de inteligência conhecida como AnvilEcho.
OS pesquisadores de segurança cibernética identificaram essa atividade como TA453, um grupo também conhecido na comunidade de segurança cibernética por vários nomes, incluindo APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) e Yellow Garuda (PwC).
Inicialmente, os invasores tentaram estabelecer comunicação com o alvo por meio de um e-mail inofensivo para criar relacionamento, com a intenção de depois convencê-lo a clicar em um link ameaçador.
Índice
Os Autores de Ameaças Implantram um Malware Previamente Desconhecido
A cadeia de ataque tinha como objetivo implantar um novo kit de malware chamado BlackSmith, que por sua vez distribuía um Trojan do PowerShell conhecido como AnvilEcho.
Acredita-se que o TA453 esteja ligado ao Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), conduzindo campanhas de phishing direcionadas para promover os objetivos políticos e militares do país. Dados de pesquisa indicam que aproximadamente 60% do direcionamento geográfico do APT42 foi direcionado aos EUA e Israel, com alvos adicionais incluindo o Irã e o Reino Unido
Suas táticas de engenharia social são implacáveis e convincentes. Os atacantes se passam por organizações e jornalistas legítimos para envolver vítimas em potencial, construindo gradualmente a confiança antes de prendê-los com documentos carregados de malware ou páginas de phishing de credenciais falsas.
Uma Cadeia de Phishing e Engenharia Social em Vários Estágios
O APT42 inicialmente envolveria seu alvo usando uma tática de engenharia social para marcar uma reunião por vídeo, levando-os a uma landing page onde eram solicitados a fazer login e, em seguida, direcionados a uma página de phishing. Outra abordagem envolvia o envio de anexos PDF legítimos como parte de um esquema de engenharia social para construir confiança e encorajar a interação em plataformas como Signal, Telegram ou WhatsApp.
Os ataques mais recentes começaram em 22 de julho de 2024, com o agente da ameaça entrando em contato com vários endereços de e-mail associados a uma figura judaica não identificada. Eles se passaram pelo Diretor de Pesquisa do Institute for the Study of War (ISW) e convidaram o alvo a participar como convidado em um podcast.
Em resposta à pergunta do alvo, o TA453 teria enviado uma URL DocSend protegida por senha, que levou a um arquivo de texto contendo um link para um podcast legítimo hospedado pela ISW. Os e-mails fraudulentos foram enviados do domínio understandingthewar.org, uma tentativa de imitar o site real da ISW (understandingwar.org).
Os pesquisadores acreditam que a estratégia do TA453 era acostumar o alvo a clicar em links e digitar senhas, tornando-o mais propenso a cair em futuras entregas de malware. Em mensagens subsequentes, o agente da ameaça enviou uma URL do Google Drive hospedando um arquivo ZIP ('Podcast Plan-2024.zip'), que continha um arquivo de atalho do Windows (LNK) projetado para implantar o kit de ferramentas BlackSmith.
O AnvilEcho é uma Ameaça Potente de Coleta de Dados
AnvilEcho, entregue via kit de ferramentas BlackSmith, é considerado um provável sucessor de implantes PowerShell anteriores, como CharmPower, GorjolEcho, POWERSTAR e PowerLess. O BlackSmith também foi projetado para apresentar um documento de isca como uma distração.
Vale ressaltar que o nome 'BlackSmith' foi previamente associado a um componente de roubo de navegador identificado por especialistas em infosec no início deste ano. Este componente foi vinculado a uma campanha distribuindo BASICSTAR, visando indivíduos de alto perfil envolvidos em assuntos do Oriente Médio.
AnvilEcho é um trojan PowerShell sofisticado com ampla funcionalidade, voltado principalmente para coleta de inteligência e exfiltração de dados. Seus principais recursos incluem reconhecimento de sistema, captura de tela, download de arquivos remotos e upload de dados confidenciais via FTP e Dropbox.
As campanhas de phishing do TA453 se alinham consistentemente com as prioridades de inteligência do IRGC. Esta implantação de malware em particular visando uma figura judaica proeminente parece ser parte dos esforços cibernéticos mais amplos do Irã contra os interesses israelenses. O TA453 continua sendo uma ameaça persistente, com foco em políticos, defensores dos direitos humanos, dissidentes e acadêmicos.
