AnvilEcho Infostealer
Iránski štátom sponzorovaní aktéri hrozieb boli spojení s phishingovými kampaňami zameranými na prominentnú židovskú osobnosť, ktoré sa začali koncom júla 2024. Cieľom útočníkov bolo nasadiť nový nástroj na zhromažďovanie spravodajských informácií známy ako AnvilEcho.
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali túto aktivitu ako TA453, skupinu tiež známu v komunite kybernetickej bezpečnosti pod rôznymi názvami, vrátane APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) a Yellow Garuda (PwC). .
Útočníci sa najprv pokúsili nadviazať komunikáciu s cieľom prostredníctvom neškodného e-mailu, aby si vybudovali vzťah, s úmyslom neskôr ich presvedčiť, aby klikli na výhražný odkaz.
Obsah
Aktéri hrozieb nasadzujú doteraz neznámy malvér
Útokový reťazec mal za cieľ nasadiť novú súpravu malvérových nástrojov s názvom BlackSmith, ktorá zase priniesla trójskeho koňa PowerShell známeho ako AnvilEcho.
Predpokladá sa, že TA453 je napojený na Iránsku islamskú revolučnú gardu (IRGC), ktorá vedie cielené phishingové kampane na podporu politických a vojenských cieľov krajiny. Údaje z výskumu naznačujú, že približne 60 % geografického zacielenia APT42 bolo nasmerovaných na USA a Izrael, pričom ďalšie ciele zahŕňajú Irán a Spojené kráľovstvo.
Ich taktiky sociálneho inžinierstva sú neúprosné a presvedčivé. Útočníci sa vydávajú za legitímne organizácie a novinárov, aby zapojili potenciálne obete, postupne si budujú dôveru predtým, ako ich chytia do pasce dokumentmi s malvérom alebo falošnými phishingovými stránkami s povereniami.
Viacstupňový reťazec phishingu a sociálneho inžinierstva
APT42 najprv zapojí svoj cieľ pomocou taktiky sociálneho inžinierstva na usporiadanie videostretnutia, ktoré ich privedie na vstupnú stránku, kde budú vyzvaní na prihlásenie a potom nasmerovaní na phishingovú stránku. Ďalší prístup zahŕňal odosielanie legitímnych príloh PDF ako súčasť schémy sociálneho inžinierstva na vybudovanie dôvery a podporu interakcie na platformách ako Signal, Telegram alebo WhatsApp.
Najnovšie útoky sa začali 22. júla 2024, pričom aktér hrozby kontaktoval viacero e-mailových adries spojených s nemenovanou židovskou postavou. Vystupovali ako riaditeľ výskumu Inštitútu pre štúdium vojny (ISW) a pozvali cieľ, aby sa zúčastnil ako hosť na podcaste.
V reakcii na dotaz cieľa TA453 údajne odoslal heslom chránenú adresu URL DocSend, ktorá viedla k textovému súboru obsahujúcemu odkaz na legitímny podcast hostovaný ISW. Podvodné e-maily boli odoslané z domény Understandingthewar.org, pokus napodobniť skutočnú webovú stránku ISW (understandingwar.org).
Výskumníci sa domnievajú, že stratégiou TA453 bolo aklimatizovať cieľ klikania na odkazy a zadávania hesiel, čím sa zvýšila pravdepodobnosť, že budú v budúcnosti padať na dodávky škodlivého softvéru. V nasledujúcich správach aktér hrozby odoslal adresu URL Disku Google, na ktorej sa nachádza archív ZIP („Podcast Plan-2024.zip“), ktorý obsahoval súbor skratky systému Windows (LNK) určený na nasadenie súpravy nástrojov BlackSmith.
AnvilEcho je silná hrozba pre zber údajov
AnvilEcho, dodávaný prostredníctvom súpravy nástrojov BlackSmith, sa považuje za pravdepodobného nástupcu predchádzajúcich implantátov PowerShell, ako sú CharmPower, GorjolEcho, POWERSTAR a PowerLess. BlackSmith je tiež navrhnutý tak, aby prezentoval návnadový dokument ako rozptýlenie.
Je pozoruhodné, že názov 'BlackSmith' bol v minulosti spojený s komponentom zlodeja prehliadača, ktorý identifikovali odborníci z Infosec začiatkom tohto roka. Tento komponent bol prepojený s kampaňou na distribúciu BASICSTAR, zameranou na významných jednotlivcov zapojených do záležitostí Blízkeho východu.
AnvilEcho je sofistikovaný trójsky kôň PowerShell s rozsiahlou funkcionalitou, primárne zameraný na zber spravodajských informácií a exfiltráciu dát. Medzi jeho kľúčové funkcie patrí rekognoskácia systému, vytváranie snímok obrazovky, sťahovanie vzdialených súborov a nahrávanie citlivých údajov cez FTP a Dropbox.
Phishingové kampane TA453 sú konzistentne v súlade so spravodajskými prioritami IRGC. Zdá sa, že toto konkrétne nasadenie škodlivého softvéru zameraného na prominentnú židovskú osobnosť je súčasťou širšieho kybernetického úsilia Iránu proti izraelským záujmom. TA453 zostáva pretrvávajúcou hrozbou, ktorá sa zameriava na politikov, obhajcov ľudských práv, disidentov a akademikov.
