AnvilEcho Инфокрад

Спонсируемые иранским государством киберпреступники были связаны с фишинговыми кампаниями, направленными против видного еврейского деятеля, которые начались в конце июля 2024 года. Целью злоумышленников было использование нового инструмента для сбора разведывательной информации, известного как AnvilEcho.

Исследователи по кибербезопасности идентифицировали эту активность как TA453, группу, также известную в сообществе кибербезопасности под разными названиями, включая APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) и Yellow Garuda (PwC).

Первоначально злоумышленники пытались установить связь с целью посредством безобидного электронного письма, чтобы наладить контакт, а затем намеревались убедить ее перейти по угрожающей ссылке.

Злоумышленники используют ранее неизвестное вредоносное ПО

Целью цепочки атак было развертывание нового вредоносного инструментария под названием BlackSmith, который, в свою очередь, доставил троян PowerShell, известный как AnvilEcho.

Предполагается, что TA453 связан с Корпусом стражей исламской революции (КСИР) Ирана, который проводит целевые фишинговые кампании для достижения политических и военных целей страны. Данные исследований показывают, что примерно 60% географических целей APT42 были направлены на США и Израиль, а также на Иран и Великобританию.

Их тактика социальной инженерии одновременно беспощадна и убедительна. Злоумышленники выдают себя за легитимные организации и журналистов, чтобы привлечь потенциальных жертв, постепенно завоевывая доверие, прежде чем заманить их в ловушку с вредоносными документами или поддельными страницами фишинга учетных данных.

Многоступенчатая цепочка фишинга и социальной инженерии

APT42 изначально вовлекала свою цель, используя тактику социальной инженерии, чтобы организовать видеовстречу, ведя ее на целевую страницу, где ей предлагалось войти в систему, а затем направлялась на фишинговую страницу. Другой подход включал отправку легитимных вложений PDF в рамках схемы социальной инженерии для создания доверия и поощрения взаимодействия на таких платформах, как Signal, Telegram или WhatsApp.

Последние атаки начались 22 июля 2024 года, когда злоумышленник обратился к нескольким адресам электронной почты, связанным с неназванным еврейским деятелем. Они представились директором по исследованиям Института изучения войны (ISW) и пригласили цель поучаствовать в качестве гостя в подкасте.

В ответ на запрос цели TA453, как сообщается, отправил защищенный паролем URL DocSend, который привел к текстовому файлу, содержащему ссылку на законный подкаст, размещенный ISW. Мошеннические письма были отправлены с домена understandingthewar.org, что является попыткой имитировать настоящий веб-сайт ISW (understandingwar.org).

Исследователи полагают, что стратегия TA453 заключалась в том, чтобы приучить жертву нажимать на ссылки и вводить пароли, что сделало бы ее более подверженной будущим вредоносным рассылкам. В последующих сообщениях злоумышленник отправил URL-адрес Google Drive, на котором размещался ZIP-архив ('Podcast Plan-2024.zip'), содержащий файл ярлыка Windows (LNK), предназначенный для развертывания набора инструментов BlackSmith.

AnvilEcho — мощная угроза сбора данных

AnvilEcho, поставляемый через набор инструментов BlackSmith, считается вероятным преемником предыдущих имплантов PowerShell, таких как CharmPower, GorjolEcho, POWERSTAR и PowerLess. BlackSmith также предназначен для представления документа-приманки в качестве отвлекающего маневра.

Примечательно, что название «BlackSmith» ранее ассоциировалось с компонентом браузерного кражи, который был обнаружен экспертами по информационной безопасности в начале этого года. Этот компонент был связан с кампанией по распространению BASICSTAR, нацеленной на высокопоставленных лиц, вовлеченных в дела Ближнего Востока.

AnvilEcho — это сложный троян PowerShell с обширной функциональностью, в первую очередь нацеленный на сбор разведданных и эксфильтрацию данных. Его ключевые функции включают разведку системы, создание снимков экрана, загрузку удаленных файлов и загрузку конфиденциальных данных через FTP и Dropbox.

Фишинговые кампании TA453 последовательно соответствуют приоритетам разведки КСИР. Это конкретное развертывание вредоносного ПО, нацеленное на видного еврейского деятеля, по-видимому, является частью более широких киберусилий Ирана против интересов Израиля. TA453 остается постоянной угрозой, фокусируясь на политиках, правозащитниках, диссидентах и ученых.