AnvilEcho Infostealer
Aktorët e kërcënimit të sponsorizuar nga shteti iranian kanë qenë të lidhur me fushatat spear-phishing që synojnë një figurë të shquar hebreje duke filluar nga fundi i korrikut 2024. Qëllimi i sulmuesve ishte të vendosnin një mjet të ri për mbledhjen e inteligjencës të njohur si AnvilEcho.
Studiuesit e sigurisë kibernetike e kanë identifikuar këtë aktivitet si TA453, një grup i njohur gjithashtu në komunitetin e sigurisë kibernetike me emra të ndryshëm, duke përfshirë APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) dhe Yellow Garuda (PwC) .
Sulmuesit fillimisht u përpoqën të krijonin komunikim me objektivin përmes një emaili të padëmshëm për të ndërtuar raporte, me qëllim që më vonë t'i bindnin ata të klikonin në një lidhje kërcënuese.
Tabela e Përmbajtjes
Aktorët e kërcënimit përdorin malware të panjohur më parë
Zinxhiri i sulmit synonte të vendoste një paketë të re mjetesh malware të quajtur BlackSmith, i cili nga ana e tij dërgoi një Trojan PowerShell të njohur si AnvilEcho.
TA453 besohet të jetë i lidhur me Korpusin e Gardës Revolucionare Islamike të Iranit (IRGC), duke kryer fushata të synuara të phishing për të çuar përpara objektivat politike dhe ushtarake të vendit. Të dhënat kërkimore tregojnë se afërsisht 60% e shënjestrimit gjeografik të APT42 është drejtuar në SHBA dhe Izrael, me objektiva shtesë duke përfshirë Iranin dhe MB.
Taktikat e tyre të inxhinierisë sociale janë të pamëshirshme dhe bindëse. Sulmuesit imitojnë organizata dhe gazetarë legjitimë për të angazhuar viktima të mundshme, duke ndërtuar gradualisht besimin përpara se t'i kapin ato me dokumente të ngarkuara me malware ose faqe të rreme kredenciale të phishing.
Fishing me shumë faza dhe Zinxhiri i Inxhinierisë Sociale
APT42 fillimisht do të angazhonte objektivin e tyre duke përdorur një taktikë të inxhinierisë sociale për të organizuar një takim me video, duke i çuar ata në një faqe uljeje ku u kërkohej të identifikoheshin dhe më pas drejtoheshin në një faqe phishing. Një qasje tjetër përfshin dërgimin e bashkëngjitjeve legjitime PDF si pjesë e një skeme të inxhinierisë sociale për të krijuar besim dhe për të inkurajuar ndërveprimin në platforma si Signal, Telegram ose WhatsApp.
Sulmet më të fundit filluan më 22 korrik 2024, me aktorin e kërcënimit që iu drejtua adresave të shumta të emailit të lidhura me një figurë hebreje të paidentifikuar. Ata pozuan si Drejtor Kërkimor i Institutit për Studimin e Luftës (ISW) dhe e ftuan objektivin të merrte pjesë si mysafir në një podcast.
Në përgjigje të kërkesës së objektivit, TA453 raportohet të ketë dërguar një URL DocSend të mbrojtur me fjalëkalim, e cila çoi në një skedar teksti që përmban një lidhje me një podcast legjitim të ISW-së. Emailet mashtruese u dërguan nga domeni Understandingthewar.org, një përpjekje për të imituar faqen aktuale të internetit të ISW (understandingwar.org).
Studiuesit besojnë se strategjia e TA453 ishte të përshtatej me klikim në lidhje dhe futjen e fjalëkalimeve, duke i bërë ata më shumë gjasa të bien për dërgesat e malware në të ardhmen. Në mesazhet pasuese, aktori i kërcënimit dërgoi një URL të Google Drive që pret një arkiv ZIP ('Podcast Plan-2024.zip'), i cili përmbante një skedar të shkurtoreve të Windows (LNK) i krijuar për të vendosur veglat e BlackSmith.
AnvilEcho është një kërcënim i fuqishëm për mbledhjen e të dhënave
AnvilEcho, i dorëzuar përmes paketës së veglave BlackSmith, konsiderohet si një pasues i mundshëm i implanteve të mëparshme PowerShell si CharmPower, GorjolEcho, POWERSTAR dhe PowerLess. BlackSmith është krijuar gjithashtu për të paraqitur një dokument joshjeje si shpërqendrim.
Vlen të përmendet se emri 'BlackSmith' është lidhur më parë me një komponent vjedhës të shfletuesit të identifikuar nga ekspertët e infosec në fillim të këtij viti. Ky komponent ishte i lidhur me një fushatë që shpërndante BASICSTAR, duke synuar individë të profilit të lartë të përfshirë në çështjet e Lindjes së Mesme.
AnvilEcho është një trojan i sofistikuar PowerShell me funksionalitet të gjerë, që synon kryesisht mbledhjen e inteligjencës dhe nxjerrjen e të dhënave. Karakteristikat kryesore të tij përfshijnë zbulimin e sistemit, marrjen e pamjeve të ekranit, shkarkimin e skedarëve në distancë dhe ngarkimin e të dhënave të ndjeshme përmes FTP dhe Dropbox.
Fushatat e phishing të TA453 përputhen vazhdimisht me prioritetet e inteligjencës të IRGC-së. Ky vendosje e veçantë malware që synon një figurë të shquar hebreje duket se është pjesë e përpjekjeve më të gjera kibernetike të Iranit kundër interesave izraelite. TA453 mbetet një kërcënim i vazhdueshëm, duke u fokusuar te politikanët, mbrojtësit e të drejtave të njeriut, disidentët dhe akademikët.
