AnvilEcho Infostealer
Iranska statligt sponsrade hotaktörer har kopplats till spjutfiskekampanjer riktade mot en framstående judisk figur med start i slutet av juli 2024. Angriparnas mål var att distribuera ett nytt verktyg för insamling av underrättelser som kallas AnvilEcho.
Cybersäkerhetsforskare har identifierat denna aktivitet som TA453, en grupp som också är känd inom cybersäkerhetsgemenskapen under olika namn, inklusive APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) och Yellow Garuda (PwC) .
Angriparna försökte initialt upprätta kommunikation med målet genom ett ofarligt e-postmeddelande för att bygga upp en relation, med avsikten att senare övertyga dem om att klicka på en hotfull länk.
Innehållsförteckning
Threat Actors distribuerar tidigare okänd skadlig programvara
Attackkedjan syftade till att distribuera en ny malware-verktygssats som heter BlackSmith, som i sin tur levererade en PowerShell-trojan känd som AnvilEcho.
TA453 tros vara kopplad till Irans islamiska revolutionsgardet (IRGC), som genomför riktade nätfiskekampanjer för att främja landets politiska och militära mål. Forskningsdata indikerar att cirka 60 % av APT42:s geografiska inriktning har riktats mot USA och Israel, med ytterligare mål inklusive Iran och Storbritannien
Deras sociala ingenjörskonst är både obeveklig och övertygande. Angriparna utger sig för att vara legitima organisationer och journalister för att engagera potentiella offer, gradvis bygga förtroende innan de fångar dem med skadlig programvara laddade dokument eller falska nätfiskesidor.
Nätfiske och social ingenjörskedja i flera steg
APT42 skulle initialt engagera sitt mål med hjälp av en social ingenjörskonst för att arrangera ett videomöte, vilket ledde dem till en målsida där de uppmanades att logga in och sedan dirigerades till en nätfiskesida. Ett annat tillvägagångssätt involverade att skicka legitima PDF-bilagor som en del av ett socialt ingenjörskoncept för att bygga förtroende och uppmuntra interaktion på plattformar som Signal, Telegram eller WhatsApp.
De senaste attackerna började den 22 juli 2024, då hotaktören nådde ut till flera e-postadresser associerade med en icke namngiven judisk figur. De poserade som forskningschef för Institute for the Study of War (ISW) och bjöd in målet att delta som gäst i en podcast.
Som svar på målets förfrågan rapporteras TA453 ha skickat en lösenordsskyddad DocSend URL, vilket ledde till en textfil innehållande en länk till en legitim ISW-värd podcast. De bedrägliga e-postmeddelandena skickades från domänen understandingthewar.org, ett försök att efterlikna den faktiska ISW-webbplatsen (understandingwar.org).
Forskare tror att TA453:s strategi var att anpassa målet till att klicka på länkar och ange lösenord, vilket gör dem mer benägna att falla för framtida skadlig programvara. I efterföljande meddelanden skickade hotaktören en Google Drive-URL som var värd för ett ZIP-arkiv ('Podcast Plan-2024.zip'), som innehöll en Windows-genvägsfil (LNK) utformad för att distribuera BlackSmith-verktygssatsen.
AnvilEcho är ett potentiellt hot om datainsamling
AnvilEcho, levererad via BlackSmith-verktygssatsen, anses vara en trolig efterföljare till tidigare PowerShell-implantat som CharmPower, GorjolEcho, POWERSTAR och PowerLess. BlackSmith är också designad för att presentera ett lockbetedokument som en distraktion.
Det är anmärkningsvärt att namnet "BlackSmith" tidigare har associerats med en webbläsarstjälkomponent som identifierades av infosec-experter tidigare i år. Den här komponenten var kopplad till en kampanj som distribuerade BASICSTAR, riktad mot högprofilerade personer involverade i Mellanösternfrågor.
AnvilEcho är en sofistikerad PowerShell-trojan med omfattande funktionalitet, främst inriktad på intelligensinsamling och dataexfiltrering. Dess nyckelfunktioner inkluderar systemspaning, ta skärmdumpar, ladda ner fjärrfiler och ladda upp känslig data via FTP och Dropbox.
TA453:s nätfiskekampanjer är konsekvent i linje med IRGC:s underrättelseprioriteringar. Denna speciella spridning av skadlig programvara som riktar sig till en framstående judisk figur verkar vara en del av Irans bredare cyberansträngningar mot israeliska intressen. TA453 förblir ett ihållande hot, med fokus på politiker, människorättsförsvarare, oliktänkande och akademiker.
