AnvilEcho இன்ஃபோஸ்டீலர்
ஜூலை 2024 இன் பிற்பகுதியில் தொடங்கும் ஒரு முக்கிய யூத நபரை இலக்காகக் கொண்ட ஈட்டி-ஃபிஷிங் பிரச்சாரங்களுடன் ஈரானிய அரசு ஆதரவளிக்கும் அச்சுறுத்தல் நடிகர்கள் இணைக்கப்பட்டுள்ளனர். தாக்குபவர்களின் இலக்கு AnvilEcho எனப்படும் புதிய உளவுத்துறை-சேகரிக்கும் கருவியை பயன்படுத்துவதாகும்.
சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் இந்த செயல்பாட்டை TA453 என அடையாளம் கண்டுள்ளனர், இது APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) மற்றும் Yellow Karuda (PwC) உள்ளிட்ட பல்வேறு பெயர்களால் சைபர் பாதுகாப்பு சமூகத்தில் அறியப்படும் குழுவாகும். .
தாக்குபவர்கள் ஆரம்பத்தில் ஒரு அச்சுறுத்தும் இணைப்பைக் கிளிக் செய்ய அவர்களை சமாதானப்படுத்தும் நோக்கத்துடன், நல்லுறவை உருவாக்க ஒரு பாதிப்பில்லாத மின்னஞ்சல் மூலம் இலக்குடன் தொடர்பு கொள்ள முயன்றனர்.
பொருளடக்கம்
அச்சுறுத்தல் நடிகர்கள் முன்பு அறியப்படாத மால்வேரைப் பயன்படுத்துகின்றனர்
தாக்குதல் சங்கிலி பிளாக்ஸ்மித் என்ற புதிய தீம்பொருள் கருவித்தொகுப்பை பயன்படுத்துவதை நோக்கமாகக் கொண்டது, இது AnvilEcho எனப்படும் பவர்ஷெல் ட்ரோஜனை வழங்கியது.
TA453 ஈரானின் இஸ்லாமிய புரட்சிகர காவலர் படையுடன் (IRGC) இணைக்கப்பட்டதாக நம்பப்படுகிறது, இது நாட்டின் அரசியல் மற்றும் இராணுவ நோக்கங்களை மேம்படுத்த இலக்கு ஃபிஷிங் பிரச்சாரங்களை நடத்துகிறது. APT42 இன் புவியியல் இலக்குகளில் ஏறத்தாழ 60% ஈரான் மற்றும் இங்கிலாந்து உள்ளிட்ட கூடுதல் இலக்குகளுடன் அமெரிக்கா மற்றும் இஸ்ரேலை நோக்கி செலுத்தப்பட்டதாக ஆய்வுத் தகவல்கள் தெரிவிக்கின்றன.
அவர்களின் சமூக பொறியியல் தந்திரோபாயங்கள் இடைவிடாதவை மற்றும் உறுதியானவை. தாக்குபவர்கள் சாத்தியமான பாதிக்கப்பட்டவர்களை ஈடுபடுத்த சட்டப்பூர்வ நிறுவனங்கள் மற்றும் பத்திரிகையாளர்களைப் போல ஆள்மாறாட்டம் செய்கிறார்கள், தீம்பொருள் நிறைந்த ஆவணங்கள் அல்லது போலி நற்சான்றிதழ் ஃபிஷிங் பக்கங்களில் அவர்களை சிக்க வைப்பதற்கு முன் படிப்படியாக நம்பிக்கையை வளர்த்துக் கொள்கிறார்கள்.
பல-நிலை ஃபிஷிங் மற்றும் சமூக பொறியியல் சங்கிலி
APT42 ஆரம்பத்தில் ஒரு வீடியோ சந்திப்பை ஏற்பாடு செய்ய ஒரு சமூக பொறியியல் யுக்தியைப் பயன்படுத்தி அவர்களின் இலக்கை ஈடுபடுத்தும், அவர்களை இறங்கும் பக்கத்திற்கு அழைத்துச் செல்லும், அங்கு அவர்கள் உள்நுழைய தூண்டப்பட்டு பின்னர் ஒரு ஃபிஷிங் பக்கத்திற்கு அனுப்பப்பட்டது. சிக்னல், டெலிகிராம் அல்லது வாட்ஸ்அப் போன்ற தளங்களில் நம்பிக்கையை வளர்ப்பதற்கும் ஊக்குவிப்பதற்கும் சமூக பொறியியல் திட்டத்தின் ஒரு பகுதியாக முறையான PDF இணைப்புகளை அனுப்புவது மற்றொரு அணுகுமுறை.
மிக சமீபத்திய தாக்குதல்கள் ஜூலை 22, 2024 அன்று தொடங்கியது, அச்சுறுத்தல் நடிகர் பெயரிடப்படாத யூத நபருடன் தொடர்புடைய பல மின்னஞ்சல் முகவரிகளை அடைந்தார். அவர்கள் போர் ஆய்வுக்கான நிறுவனத்தின் (ISW) ஆராய்ச்சி இயக்குநராக போஸ் கொடுத்து, போட்காஸ்டில் விருந்தினராக பங்கேற்க இலக்கை அழைத்தனர்.
இலக்கின் விசாரணைக்கு பதிலளிக்கும் விதமாக, TA453 ஆனது கடவுச்சொல்-பாதுகாக்கப்பட்ட DocSend URL ஐ அனுப்பியதாகக் கூறப்படுகிறது, இது முறையான ISW- ஹோஸ்ட் செய்யப்பட்ட போட்காஸ்டுக்கான இணைப்பைக் கொண்ட உரைக் கோப்பிற்கு வழிவகுத்தது. உண்மையான ISW இணையதளத்தை (understandingwar.org) பிரதிபலிக்கும் முயற்சியின் மூலம், புரிந்துகொள்வதுthewar.org என்ற டொமைனில் இருந்து மோசடி மின்னஞ்சல்கள் அனுப்பப்பட்டன.
TA453 இன் உத்தியானது, இணைப்புகளைக் கிளிக் செய்து கடவுச்சொற்களை உள்ளிடுவதற்கான இலக்கை ஏற்றுக்கொள்வதாகும், இதனால் அவை எதிர்கால தீம்பொருள் விநியோகங்களுக்கு விழுவதற்கான வாய்ப்புகள் அதிகம் என்று ஆராய்ச்சியாளர்கள் நம்புகின்றனர். அடுத்தடுத்த செய்திகளில், அச்சுறுத்தல் நடிகர் ஒரு ஜிப் காப்பகத்தை ('பாட்காஸ்ட் திட்டம்-2024.zip') ஹோஸ்ட் செய்யும் Google இயக்கக URL ஐ அனுப்பினார், அதில் BlackSmith டூல்கிட்டைப் பயன்படுத்த வடிவமைக்கப்பட்ட விண்டோஸ் ஷார்ட்கட் (LNK) கோப்பு இருந்தது.
AnvilEcho ஒரு சக்திவாய்ந்த தரவு அறுவடை அச்சுறுத்தலாகும்
பிளாக்ஸ்மித் டூல்கிட் மூலம் வழங்கப்பட்ட AnvilEcho, CharmPower, GorjolEcho, POWERSTAR மற்றும் PowerLess போன்ற முந்தைய PowerShell உள்வைப்புகளுக்கு அடுத்ததாகக் கருதப்படுகிறது. பிளாக்ஸ்மித் ஒரு கவர்ச்சியான ஆவணத்தை கவனச்சிதறலாக முன்வைக்க வடிவமைக்கப்பட்டுள்ளது.
இந்த ஆண்டின் தொடக்கத்தில் infosec நிபுணர்களால் அடையாளம் காணப்பட்ட உலாவி திருட்டு கூறுகளுடன் 'BlackSmith' என்ற பெயர் இதற்கு முன்னர் தொடர்புடையது என்பது குறிப்பிடத்தக்கது. மத்திய கிழக்கு விவகாரங்களில் ஈடுபட்டுள்ள உயர்மட்ட நபர்களைக் குறிவைத்து, BASICSTAR விநியோகிக்கும் பிரச்சாரத்துடன் இந்தக் கூறு இணைக்கப்பட்டது.
AnvilEcho என்பது ஒரு அதிநவீன பவர்ஷெல் ட்ரோஜன் ஆகும், இது விரிவான செயல்பாட்டைக் கொண்டுள்ளது, இது முதன்மையாக உளவுத்துறை சேகரிப்பு மற்றும் தரவுகளை வெளியேற்றுவதை நோக்கமாகக் கொண்டுள்ளது. அதன் முக்கிய அம்சங்களில் சிஸ்டம் உளவு பார்த்தல், ஸ்கிரீன் ஷாட்களை எடுப்பது, ரிமோட் கோப்புகளைப் பதிவிறக்குவது மற்றும் FTP மற்றும் டிராப்பாக்ஸ் வழியாக முக்கியமான தரவைப் பதிவேற்றுவது ஆகியவை அடங்கும்.
TA453 இன் ஃபிஷிங் பிரச்சாரங்கள் IRGC இன் உளவுத்துறை முன்னுரிமைகளுடன் தொடர்ந்து ஒத்துப்போகின்றன. ஒரு முக்கிய யூத நபரை குறிவைக்கும் இந்த குறிப்பிட்ட தீம்பொருள் வரிசைப்படுத்தல் இஸ்ரேலிய நலன்களுக்கு எதிரான ஈரானின் பரந்த இணைய முயற்சிகளின் ஒரு பகுதியாகத் தோன்றுகிறது. TA453 ஒரு தொடர்ச்சியான அச்சுறுத்தலாக உள்ளது, இது அரசியல்வாதிகள், மனித உரிமைகள் பாதுகாவலர்கள், எதிர்ப்பாளர்கள் மற்றும் கல்வியாளர்கள் மீது கவனம் செலுத்துகிறது.
