АнвилЕцхо Инфостеалер
Актери претњи које спонзорише иранска држава повезују се са кампањама фишинга усмереним на истакнуту јеврејску личност почевши од краја јула 2024. Циљ нападача је био да примене нови алат за прикупљање обавештајних података познат као АнвилЕцхо.
Истраживачи сајбер безбедности идентификовали су ову активност као ТА453, групу познату у заједници сајбер безбедности под различитим именима, укључујући АПТ42 (Мандиант), Шармантно маче (ЦровдСтрике), Дамселфли (Симантец), Минт Сандсторм (Мицрософт) и Иеллов Гаруда (ПвЦ) .
Нападачи су првобитно покушали да успоставе комуникацију са метом путем безопасне е-поште како би изградили однос, са намером да их касније убеде да кликну на претећу везу.
Преглед садржаја
Актери претњи примењују раније непознати малвер
Ланац напада имао је за циљ да примени нови комплет алата за малвер под називом БлацкСмитх, који је заузврат испоручио ПоверСхелл тројанац познат као АнвилЕцхо.
Верује се да је ТА453 повезан са иранском Исламском револуционарном гардом (ИРГЦ), која спроводи циљане пхисхинг кампање како би унапредила политичке и војне циљеве земље. Подаци истраживања показују да је приближно 60% географског циљања АПТ42 усмерено на САД и Израел, уз додатне мете укључујући Иран и УК
Њихова тактика социјалног инжењеринга је неумољива и убедљива. Нападачи се лажно представљају као легитимне организације и новинари како би ангажовали потенцијалне жртве, постепено градећи поверење пре него што их заробе документима пуним злонамерног софтвера или лажним страницама за крађу идентитета.
Вишестепени ланац фишинга и друштвеног инжењеринга
АПТ42 би у почетку ангажовао своју мету користећи тактику друштвеног инжењеринга да би договорио видео састанак, што би их довело до одредишне странице на којој су били упитани да се пријаве, а затим упућени на страницу за пхисхинг. Други приступ је укључивао слање легитимних ПДФ прилога као део шеме друштвеног инжењеринга за изградњу поверења и подстицање интеракције на платформама као што су Сигнал, Телеграм или ВхатсАпп.
Најновији напади почели су 22. јула 2024. године, када је актер претње дошао до више имејл адреса повезаних са неименованом јеврејском фигуром. Представили су се као директор истраживања Института за проучавање рата (ИСВ) и позвали мету да учествује као гост у подкасту.
Као одговор на упит мете, пријављено је да је ТА453 послао ДоцСенд УРЛ заштићен лозинком, што је довело до текстуалне датотеке која садржи везу до легитимног подцаста који хостује ИСВ. Преварне е-поруке су послате са домена ундерстандингтхевар.орг, у покушају да се опонаша стварна ИСВ веб локација (ундерстандингвар.орг).
Истраживачи верују да је стратегија ТА453 била да се циљ привикне на кликање на линкове и уношење лозинки, због чега је већа вероватноћа да ће пасти на будуће испоруке малвера. У наредним порукама, актер претње је послао УРЛ адресу Гоогле диска у којој се налази ЗИП архива („Подцаст План-2024.зип“), која је садржала датотеку пречице за Виндовс (ЛНК) дизајнирану да примени БлацкСмитх комплет алата.
АнвилЕцхо је моћна претња за прикупљање података
АнвилЕцхо, испоручен преко БлацкСмитх комплета алата, сматра се вероватним наследником претходних ПоверСхелл имплантата као што су ЦхармПовер, ГорјолЕцхо, ПОВЕРСТАР и ПоверЛесс. БлацкСмитх је такође дизајниран да прикаже документ мамца као одвраћање пажње.
Важно је напоменути да је име 'БлацкСмитх' раније било повезано са компонентом за крађу претраживача коју су идентификовали стручњаци за инфосец раније ове године. Ова компонента је била повезана са кампањом која дистрибуира БАСИЦСТАР, циљајући на високопрофилисане појединце укључене у блискоисточне послове.
АнвилЕцхо је софистицирани ПоверСхелл тројанац са великом функционалношћу, првенствено усмерен на прикупљање обавештајних података и ексфилтрацију података. Његове кључне карактеристике укључују извиђање система, прављење снимака екрана, преузимање удаљених датотека и отпремање осетљивих података преко ФТП-а и Дропбок-а.
ТА453 пхисхинг кампање су доследно усклађене са обавештајним приоритетима ИРГЦ-а. Чини се да је ова конкретна примена малвера усмерена на истакнуту јеврејску личност део ширих сајбер напора Ирана против израелских интереса. ТА453 остаје стална претња, фокусирајући се на политичаре, браниоце људских права, дисиденте и академике.
