AnvilEcho Infostealer
Actorii de amenințări sponsorizați de stat iranieni au fost legați de campanii de spear-phishing care vizează o personalitate evreiască proeminentă, începând cu sfârșitul lunii iulie 2024. Scopul atacatorilor a fost să desfășoare un nou instrument de colectare a informațiilor cunoscut sub numele de AnvilEcho.
Cercetătorii în domeniul securității cibernetice au identificat această activitate ca fiind TA453, un grup cunoscut și în comunitatea de securitate cibernetică sub diferite nume, inclusiv APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) și Yellow Garuda (PwC). .
Atacatorii au încercat inițial să stabilească comunicarea cu ținta printr-un e-mail inofensiv pentru a construi relații, cu intenția de a-i convinge ulterior să facă clic pe un link amenințător.
Cuprins
Actorii amenințărilor implementează programe malware necunoscute anterior
Lanțul de atac și-a propus să implementeze un nou set de instrumente malware numit BlackSmith, care, la rândul său, a furnizat un troian PowerShell cunoscut sub numele de AnvilEcho.
Se crede că TA453 este legat de Corpul Gărzilor Revoluționare Islamice (IRGC) al Iranului, care desfășoară campanii de phishing direcționate pentru a promova obiectivele politice și militare ale țării. Datele cercetării indică faptul că aproximativ 60% din direcționarea geografică a APT42 a fost direcționată către SUA și Israel, cu ținte suplimentare inclusiv Iran și Regatul Unit.
Tacticile lor de inginerie socială sunt atât necruțătoare, cât și convingătoare. Atacatorii uzurpă identitatea unor organizații și jurnalişti legitimi pentru a implica potenţialele victime, construind treptat încrederea înainte de a le prinde cu documente încărcate de malware sau pagini false de phishing.
Lanț de phishing și inginerie socială în mai multe etape
APT42 și-ar implica inițial ținta folosind o tactică de inginerie socială pentru a aranja o întâlnire video, conducându-i către o pagină de destinație unde li s-a cerut să se conecteze și apoi direcționați către o pagină de phishing. O altă abordare a implicat trimiterea de atașamente PDF legitime ca parte a unei scheme de inginerie socială pentru a construi încredere și a încuraja interacțiunea pe platforme precum Signal, Telegram sau WhatsApp.
Cele mai recente atacuri au început pe 22 iulie 2024, actorul amenințător a contactat mai multe adrese de e-mail asociate cu o figură evreiască fără nume. Ei s-au pozat drept director de cercetare al Institutului pentru Studiul Războiului (ISW) și au invitat ținta să participe ca invitat la un podcast.
Ca răspuns la întrebarea țintei, se raportează că TA453 a trimis o adresă URL DocSend protejată prin parolă, care a condus la un fișier text care conține un link către un podcast legitim găzduit de ISW. E-mailurile frauduloase au fost trimise de pe domeniul understandingthewar.org, o încercare de a imita site-ul real al ISW (understandingwar.org).
Cercetătorii cred că strategia TA453 a fost să adapteze ținta să facă clic pe linkuri și să introducă parole, făcându-le mai probabil să cadă în viitoarele livrări de malware. În mesajele ulterioare, actorul amenințării a trimis o adresă URL Google Drive care găzduiește o arhivă ZIP („Podcast Plan-2024.zip”), care conținea un fișier de comandă rapidă Windows (LNK) conceput pentru a implementa setul de instrumente BlackSmith.
AnvilEcho este o amenințare puternică de recoltare a datelor
AnvilEcho, furnizat prin setul de instrumente BlackSmith, este considerat un succesor probabil al implanturilor PowerShell anterioare, cum ar fi CharmPower, GorjolEcho, POWERSTAR și PowerLess. BlackSmith este, de asemenea, conceput pentru a prezenta un document de naluca ca o distragere a atenției.
Este de remarcat faptul că numele „BlackSmith” a fost anterior asociat cu o componentă de furt de browser identificată de experții Infosec la începutul acestui an. Această componentă a fost legată de o campanie de distribuire a BASICSTAR, care vizează persoane de profil înalt implicate în afacerile din Orientul Mijlociu.
AnvilEcho este un troian PowerShell sofisticat cu funcționalități extinse, care vizează în primul rând colectarea informațiilor și exfiltrarea datelor. Caracteristicile sale cheie includ recunoașterea sistemului, realizarea de capturi de ecran, descărcarea fișierelor de la distanță și încărcarea datelor sensibile prin FTP și Dropbox.
Campaniile de phishing ale TA453 se aliniază în mod constant cu prioritățile de informații ale IRGC. Această implementare specială de malware care vizează o personalitate evreiască proeminentă pare să facă parte din eforturile cibernetice mai ample ale Iranului împotriva intereselor israeliene. TA453 rămâne o amenințare persistentă, concentrându-se pe politicieni, apărători ai drepturilor omului, dizidenți și cadre universitare.
