AnvilEcho Infostealer
Iranski akterji groženj, ki jih sponzorira država, so bili konec julija 2024 povezani s kampanjami lažnega predstavljanja, usmerjenimi proti ugledni judovski osebnosti. Cilj napadalcev je bil uporabiti novo orodje za zbiranje obveščevalnih podatkov, znano kot AnvilEcho.
Raziskovalci kibernetske varnosti so to dejavnost identificirali kot TA453, skupino, ki je v skupnosti kibernetske varnosti znana tudi pod različnimi imeni, vključno z APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) in Yellow Garuda (PwC). .
Napadalci so najprej poskušali vzpostaviti komunikacijo s tarčo prek neškodljive elektronske pošte, da bi vzpostavili odnos, z namenom, da bi jih kasneje prepričali, da kliknejo na grozečo povezavo.
Kazalo
Akterji groženj uporabljajo prej neznano zlonamerno programsko opremo
Namen verige napadov je bil uvesti nov nabor orodij za zlonamerno programsko opremo, imenovano BlackSmith, ki je nato zagotovila trojanca PowerShell, znanega kot AnvilEcho.
TA453 naj bi bil povezan z iransko Korpusom islamske revolucionarne garde (IRGC), ki izvaja ciljno usmerjene kampanje lažnega predstavljanja za doseganje političnih in vojaških ciljev države. Raziskovalni podatki kažejo, da je bilo približno 60 % geografskega ciljanja APT42 usmerjenega v ZDA in Izrael, z dodatnimi cilji, vključno z Iranom in Združenim kraljestvom.
Njihova taktika socialnega inženiringa je neizprosna in prepričljiva. Napadalci se lažno predstavljajo kot zakonite organizacije in novinarji, da vključijo potencialne žrtve in postopoma gradijo zaupanje, preden jih ujamejo z dokumenti, polnimi zlonamerne programske opreme, ali lažnimi stranmi za lažno predstavljanje poverilnic.
Večstopenjska veriga lažnega predstavljanja in socialnega inženiringa
APT42 bi sprva vključil svojo tarčo s taktiko socialnega inženiringa, da bi organiziral video sestanek, ki bi jih vodil do ciljne strani, kjer so bili pozvani, da se prijavijo, nato pa so bili usmerjeni na lažno stran. Drug pristop je vključeval pošiljanje zakonitih prilog PDF kot del sheme socialnega inženiringa za izgradnjo zaupanja in spodbujanje interakcije na platformah, kot so Signal, Telegram ali WhatsApp.
Najnovejši napadi so se začeli 22. julija 2024, ko je akter grožnje dosegel več e-poštnih naslovov, povezanih z neimenovano judovsko osebnostjo. Predstavljali so se kot raziskovalni direktor Inštituta za proučevanje vojne (ISW) in tarčo povabili k sodelovanju kot gostje v podcastu.
Kot odgovor na ciljno poizvedbo naj bi TA453 poslal z geslom zaščiten URL DocSend, ki je vodil do besedilne datoteke s povezavo do zakonitega podcasta, ki ga gosti ISW. Goljufiva e-poštna sporočila so bila poslana z domene understandingthewar.org, s čimer se poskuša posnemati dejansko spletno mesto ISW (understandingwar.org).
Raziskovalci verjamejo, da je bila strategija TA453 cilj prilagoditi klikanju povezav in vnašanju gesel, zaradi česar je večja verjetnost, da bodo padli na prihodnje dostave zlonamerne programske opreme. V naslednjih sporočilih je povzročitelj grožnje poslal URL storitve Google Drive, ki je gostil arhiv ZIP ('Podcast Plan-2024.zip'), ki je vseboval datoteko z bližnjico Windows (LNK), namenjeno uvajanju orodja BlackSmith.
AnvilEcho je močna grožnja za zbiranje podatkov
AnvilEcho, dobavljen prek orodja BlackSmith, velja za verjetnega naslednika prejšnjih vsadkov PowerShell, kot so CharmPower, GorjolEcho, POWERSTAR in PowerLess. BlackSmith je zasnovan tudi tako, da dokument z vabami predstavi kot moteč dejavnik.
Omeniti velja, da je bilo ime 'BlackSmith' že prej povezano s komponento kraje brskalnika, ki so jo strokovnjaki za infosec prepoznali v začetku tega leta. Ta komponenta je bila povezana s kampanjo za distribucijo BASICSTAR, ki je ciljala na pomembne posameznike, vpletene v zadeve na Bližnjem vzhodu.
AnvilEcho je sofisticiran trojanec PowerShell z obsežno funkcionalnostjo, ki je namenjen predvsem zbiranju obveščevalnih podatkov in ekstrakciji podatkov. Njegove ključne funkcije vključujejo izvidovanje sistema, snemanje posnetkov zaslona, nalaganje oddaljenih datotek in nalaganje občutljivih podatkov prek FTP in Dropbox.
Kampanje lažnega predstavljanja TA453 so dosledno usklajene z obveščevalnimi prednostnimi nalogami IRGC. Zdi se, da je ta uvedba zlonamerne programske opreme, ki cilja na vidno judovsko osebnost, del širših kibernetskih prizadevanj Irana proti izraelskim interesom. TA453 ostaja stalna grožnja, ki se osredotoča na politike, zagovornike človekovih pravic, disidente in akademike.
