అన్విల్ ఎకో ఇన్ఫోస్టీలర్

ఇరానియన్ ప్రభుత్వ-ప్రాయోజిత ముప్పు నటులు జూలై 2024 చివరి నుండి ప్రారంభమయ్యే ఒక ప్రముఖ యూదు వ్యక్తిని లక్ష్యంగా చేసుకుని స్పియర్-ఫిషింగ్ ప్రచారాలకు అనుసంధానించబడ్డారు. దాడి చేసేవారి లక్ష్యం అన్విల్ ఎకో అని పిలువబడే కొత్త గూఢచార-సేకరణ సాధనం.

సైబర్‌ సెక్యూరిటీ పరిశోధకులు ఈ కార్యాచరణను TA453గా గుర్తించారు, APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) మరియు ఎల్లో గరుడ (PwC) వంటి వివిధ పేర్లతో సైబర్‌ సెక్యూరిటీ కమ్యూనిటీలో కూడా పిలువబడే ఒక సమూహం. .

దాడి చేసేవారు మొదట్లో బెదిరింపు లింక్‌పై క్లిక్ చేయమని వారిని ఒప్పించాలనే ఉద్దేశ్యంతో, సంబంధాన్ని పెంపొందించుకోవడానికి హానిచేయని ఇమెయిల్ ద్వారా లక్ష్యంతో కమ్యూనికేషన్‌ను ఏర్పాటు చేయడానికి ప్రయత్నించారు.

బెదిరింపు నటులు గతంలో తెలియని మాల్వేర్‌ని అమలు చేస్తారు

దాడి గొలుసు బ్లాక్‌స్మిత్ అనే కొత్త మాల్వేర్ టూల్‌కిట్‌ను అమలు చేయడానికి లక్ష్యంగా పెట్టుకుంది, ఇది అన్విల్ ఎకో అని పిలువబడే పవర్‌షెల్ ట్రోజన్‌ను పంపిణీ చేసింది.

TA453 ఇరాన్ యొక్క ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC)తో అనుసంధానించబడిందని విశ్వసించబడింది, ఇది దేశం యొక్క రాజకీయ మరియు సైనిక లక్ష్యాలను మరింతగా పెంచడానికి లక్ష్యంగా ఫిషింగ్ ప్రచారాలను నిర్వహిస్తోంది. APT42 యొక్క భౌగోళిక లక్ష్యంలో దాదాపు 60% ఇరాన్ మరియు UKతో సహా అదనపు లక్ష్యాలతో US మరియు ఇజ్రాయెల్ వైపు మళ్లించబడిందని పరిశోధన డేటా సూచిస్తుంది.

వారి సామాజిక ఇంజనీరింగ్ వ్యూహాలు కనికరంలేనివి మరియు నమ్మదగినవి. దాడి చేసే వ్యక్తులు సంభావ్య బాధితులను నిమగ్నం చేయడానికి చట్టబద్ధమైన సంస్థలు మరియు జర్నలిస్టుల వలె నటించి, మాల్వేర్ నిండిన పత్రాలు లేదా నకిలీ క్రెడెన్షియల్ ఫిషింగ్ పేజీలతో వారిని ట్రాప్ చేయడానికి ముందు క్రమంగా విశ్వాసాన్ని పెంచుకుంటారు.

బహుళ-దశల ఫిషింగ్ మరియు సోషల్ ఇంజనీరింగ్ చైన్

APT42 ప్రారంభంలో వీడియో సమావేశాన్ని ఏర్పాటు చేయడానికి సోషల్ ఇంజనీరింగ్ వ్యూహాన్ని ఉపయోగించి వారి లక్ష్యాన్ని నిమగ్నం చేస్తుంది, వారిని ల్యాండింగ్ పేజీకి దారి తీస్తుంది, అక్కడ వారు లాగిన్ చేయమని ప్రాంప్ట్ చేయబడి, ఆపై ఫిషింగ్ పేజీకి మళ్లించబడతారు. సిగ్నల్, టెలిగ్రామ్ లేదా WhatsApp వంటి ప్లాట్‌ఫారమ్‌లపై నమ్మకాన్ని పెంపొందించడానికి మరియు పరస్పర చర్యను ప్రోత్సహించడానికి సోషల్ ఇంజనీరింగ్ పథకంలో భాగంగా చట్టబద్ధమైన PDF జోడింపులను పంపడం మరొక విధానం.

అత్యంత ఇటీవలి దాడులు జూలై 22, 2024న ప్రారంభమయ్యాయి, బెదిరింపు నటుడు పేరులేని యూదు వ్యక్తితో అనుబంధించబడిన బహుళ ఇమెయిల్ చిరునామాలకు చేరుకున్నాడు. వారు ఇన్స్టిట్యూట్ ఫర్ ది స్టడీ ఆఫ్ వార్ (ISW) యొక్క రీసెర్చ్ డైరెక్టర్‌గా పోజులిచ్చి, పాడ్‌కాస్ట్‌లో అతిథిగా పాల్గొనడానికి లక్ష్యాన్ని ఆహ్వానించారు.

లక్ష్యం యొక్క విచారణకు ప్రతిస్పందనగా, TA453 పాస్‌వర్డ్-రక్షిత DocSend URLని పంపినట్లు నివేదించబడింది, ఇది చట్టబద్ధమైన ISW-హోస్ట్ చేసిన పాడ్‌కాస్ట్‌కు లింక్‌ను కలిగి ఉన్న టెక్స్ట్ ఫైల్‌కు దారితీసింది. అసలైన ISW వెబ్‌సైట్ (understandingwar.org)ని అనుకరించే ప్రయత్నం, అవగాహన thewar.org డొమైన్ నుండి మోసపూరిత ఇమెయిల్‌లు పంపబడ్డాయి.

TA453 యొక్క వ్యూహం లింక్‌లపై క్లిక్ చేయడం మరియు పాస్‌వర్డ్‌లను నమోదు చేయడం కోసం లక్ష్యాన్ని అలవాటు చేయడం, భవిష్యత్తులో మాల్వేర్ డెలివరీలకు పడే అవకాశం ఉందని పరిశోధకులు భావిస్తున్నారు. తదుపరి సందేశాలలో, బెదిరింపు నటుడు బ్లాక్‌స్మిత్ టూల్‌కిట్‌ని అమలు చేయడానికి రూపొందించిన Windows షార్ట్‌కట్ (LNK) ఫైల్‌ను కలిగి ఉన్న జిప్ ఆర్కైవ్ ('పాడ్‌కాస్ట్ ప్లాన్-2024.zip')ని హోస్ట్ చేసే Google డిస్క్ URLను పంపాడు.

AnvilEcho ఒక శక్తివంతమైన డేటా-హార్వెస్టింగ్ ముప్పు

AnvilEcho, BlackSmith టూల్‌కిట్ ద్వారా పంపిణీ చేయబడింది, ఇది CharmPower, GorjolEcho, POWERSTAR మరియు పవర్‌లెస్ వంటి మునుపటి పవర్‌షెల్ ఇంప్లాంట్‌లకు వారసునిగా పరిగణించబడుతుంది. బ్లాక్‌స్మిత్ ఒక ఎర పత్రాన్ని పరధ్యానంగా ప్రదర్శించడానికి కూడా రూపొందించబడింది.

ఈ సంవత్సరం ప్రారంభంలో ఇన్ఫోసెక్ నిపుణులు గుర్తించిన బ్రౌజర్ స్టీలర్ కాంపోనెంట్‌తో 'బ్లాక్‌స్మిత్' అనే పేరు గతంలో అనుబంధించబడి ఉండటం గమనార్హం. ఈ భాగం BASICSTARని పంపిణీ చేసే ప్రచారానికి అనుసంధానించబడింది, మధ్యప్రాచ్య వ్యవహారాల్లో పాల్గొన్న ఉన్నత స్థాయి వ్యక్తులను లక్ష్యంగా చేసుకుంది.

AnvilEcho అనేది విస్తృతమైన కార్యాచరణతో కూడిన ఒక అధునాతన PowerShell ట్రోజన్, ప్రధానంగా గూఢచార సేకరణ మరియు డేటా వెలికితీత లక్ష్యంగా ఉంది. సిస్టమ్ నిఘా, స్క్రీన్‌షాట్‌లను తీయడం, రిమోట్ ఫైల్‌లను డౌన్‌లోడ్ చేయడం మరియు FTP మరియు డ్రాప్‌బాక్స్ ద్వారా సున్నితమైన డేటాను అప్‌లోడ్ చేయడం దీని ముఖ్య లక్షణాలు.

TA453 యొక్క ఫిషింగ్ ప్రచారాలు IRGC యొక్క ఇంటెలిజెన్స్ ప్రాధాన్యతలకు అనుగుణంగా స్థిరంగా ఉంటాయి. ఇజ్రాయెల్ ప్రయోజనాలకు వ్యతిరేకంగా ఇరాన్ విస్తృత సైబర్ ప్రయత్నాలలో భాగంగా ఒక ప్రముఖ యూదు వ్యక్తిని లక్ష్యంగా చేసుకున్న ఈ ప్రత్యేక మాల్వేర్ విస్తరణ. TA453 రాజకీయ నాయకులు, మానవ హక్కుల రక్షకులు, అసమ్మతివాదులు మరియు విద్యావేత్తలపై దృష్టి సారిస్తూ నిరంతర ముప్పుగా మిగిలిపోయింది.