AnvilEcho เครื่องมือขโมยข้อมูล
ผู้ก่อภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านมีความเชื่อมโยงกับแคมเปญฟิชชิ่งที่มุ่งเป้าไปที่บุคคลสำคัญของชาวยิวตั้งแต่ปลายเดือนกรกฎาคม 2024 โดยผู้โจมตีมีเป้าหมายเพื่อใช้เครื่องมือรวบรวมข้อมูลข่าวกรองใหม่ที่เรียกว่า AnvilEcho
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุกิจกรรมนี้ว่าเป็น TA453 ซึ่งเป็นกลุ่มที่รู้จักกันในชุมชนด้านความปลอดภัยทางไซเบอร์ด้วยชื่อต่าง ๆ รวมถึง APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) และ Yellow Garuda (PwC)
ในตอนแรกผู้โจมตีพยายามติดต่อสื่อสารกับเป้าหมายผ่านทางอีเมลที่ไม่เป็นอันตรายเพื่อสร้างความสัมพันธ์ โดยมีจุดประสงค์เพื่อโน้มน้าวให้พวกเขาคลิกลิงก์ที่เป็นภัยคุกคามในภายหลัง
สารบัญ
ผู้ก่อภัยคุกคามใช้มัลแวร์ที่ไม่รู้จักมาก่อน
กลุ่มโจมตีดังกล่าวมีจุดมุ่งหมายเพื่อใช้งานชุดเครื่องมือมัลแวร์ใหม่ที่เรียกว่า BlackSmith ซึ่งจะส่งมอบโทรจัน PowerShell ที่เรียกว่า AnvilEcho ในทางกลับกัน
เชื่อกันว่า TA453 เชื่อมโยงกับกองกำลังพิทักษ์การปฏิวัติอิสลามของอิหร่าน (IRGC) ซึ่งดำเนินการแคมเปญฟิชชิ่งแบบกำหนดเป้าหมายเพื่อขยายวัตถุประสงค์ทางการเมืองและการทหารของประเทศ ข้อมูลการวิจัยระบุว่าการกำหนดเป้าหมายทางภูมิศาสตร์ของ APT42 ประมาณ 60% มุ่งเป้าไปที่สหรัฐอเมริกาและอิสราเอล โดยมีเป้าหมายเพิ่มเติมรวมถึงอิหร่านและสหราชอาณาจักร
กลวิธีทางวิศวกรรมสังคมของพวกเขานั้นทั้งไม่ลดละและน่าเชื่อถือ ผู้โจมตีปลอมตัวเป็นองค์กรและนักข่าวที่ถูกกฎหมายเพื่อติดต่อกับเหยื่อที่มีศักยภาพ โดยค่อยๆ สร้างความไว้วางใจก่อนที่จะดักจับพวกเขาด้วยเอกสารที่เต็มไปด้วยมัลแวร์หรือหน้าเพจฟิชชิ่งข้อมูลประจำตัวปลอม
ฟิชชิ่งแบบหลายขั้นตอนและห่วงโซ่ทางวิศวกรรมทางสังคม
ในตอนแรก APT42 จะติดต่อกับเป้าหมายโดยใช้กลวิธีทางวิศวกรรมสังคมเพื่อจัดการประชุมทางวิดีโอ ซึ่งจะนำพวกเขาไปยังหน้าปลายทางที่พวกเขาจะได้รับการแจ้งให้เข้าสู่ระบบ จากนั้นจึงส่งไปยังหน้าฟิชชิ่ง อีกวิธีหนึ่งคือการส่งไฟล์แนบ PDF ที่ถูกต้องตามกฎหมายเป็นส่วนหนึ่งของแผนการทางวิศวกรรมสังคมเพื่อสร้างความไว้วางใจและส่งเสริมการโต้ตอบบนแพลตฟอร์มต่างๆ เช่น Signal, Telegram หรือ WhatsApp
การโจมตีครั้งล่าสุดเริ่มขึ้นในวันที่ 22 กรกฎาคม 2024 โดยผู้ก่อภัยคุกคามได้ติดต่อไปยังที่อยู่อีเมลหลายรายการที่เกี่ยวข้องกับบุคคลชาวยิวที่ไม่เปิดเผยชื่อ โดยพวกเขาแอบอ้างตัวเป็นผู้อำนวยการฝ่ายวิจัยของสถาบันเพื่อการศึกษาสงคราม (ISW) และเชิญเป้าหมายให้เข้าร่วมเป็นแขกรับเชิญในพอดแคสต์
จากการสอบถามของเป้าหมาย รายงานว่า TA453 ได้ส่ง URL DocSend ที่ได้รับการป้องกันด้วยรหัสผ่าน ซึ่งนำไปสู่ไฟล์ข้อความที่มีลิงก์ไปยังพอดแคสต์ที่โฮสต์โดย ISW ที่ถูกต้องตามกฎหมาย อีเมลหลอกลวงเหล่านี้ถูกส่งมาจากโดเมน understandingthewar.org ซึ่งเป็นความพยายามเลียนแบบเว็บไซต์ ISW จริง (understandingwar.org)
นักวิจัยเชื่อว่ากลยุทธ์ของ TA453 คือการทำให้เป้าหมายคุ้นเคยกับการคลิกลิงก์และป้อนรหัสผ่าน ทำให้พวกเขามีแนวโน้มที่จะตกเป็นเหยื่อของมัลแวร์ในอนาคตมากขึ้น ในข้อความต่อมา ผู้ก่อภัยคุกคามได้ส่ง URL ของ Google Drive ที่มีไฟล์ ZIP ('Podcast Plan-2024.zip') ซึ่งมีไฟล์ทางลัดของ Windows (LNK) ที่ออกแบบมาเพื่อใช้งานชุดเครื่องมือ BlackSmith
AnvilEcho เป็นภัยคุกคามการเก็บเกี่ยวข้อมูลอันทรงพลัง
AnvilEcho ซึ่งส่งผ่านชุดเครื่องมือ BlackSmith ถือเป็นตัวต่อยอดจากโปรแกรม PowerShell รุ่นก่อนๆ เช่น CharmPower, GorjolEcho, POWERSTAR และ PowerLess นอกจากนี้ BlackSmith ยังได้รับการออกแบบมาให้แสดงเอกสารล่อใจเพื่อเบี่ยงเบนความสนใจอีกด้วย
ที่น่าสังเกตคือชื่อ "BlackSmith" เคยถูกเชื่อมโยงกับส่วนประกอบที่ขโมยเบราว์เซอร์ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลได้ค้นพบเมื่อต้นปีนี้ ส่วนประกอบนี้เชื่อมโยงกับแคมเปญที่เผยแพร่ BASICSTAR ซึ่งกำหนดเป้าหมายบุคคลที่มีชื่อเสียงที่เกี่ยวข้องกับกิจการในตะวันออกกลาง
AnvilEcho เป็นโทรจัน PowerShell ที่ซับซ้อนพร้อมฟังก์ชันมากมาย โดยมุ่งเป้าไปที่การรวบรวมข้อมูลข่าวกรองและขโมยข้อมูล คุณลักษณะสำคัญ ได้แก่ การลาดตระเวนระบบ การจับภาพหน้าจอ การดาวน์โหลดไฟล์ระยะไกล และการอัปโหลดข้อมูลที่ละเอียดอ่อนผ่าน FTP และ Dropbox
แคมเปญฟิชชิ่งของ TA453 สอดคล้องกับลำดับความสำคัญด้านข่าวกรองของ IRGC การใช้งานมัลแวร์ที่กำหนดเป้าหมายบุคคลสำคัญชาวยิวโดยเฉพาะนี้ดูเหมือนจะเป็นส่วนหนึ่งของความพยายามทางไซเบอร์ที่กว้างขึ้นของอิหร่านต่อผลประโยชน์ของอิสราเอล TA453 ยังคงเป็นภัยคุกคามอย่างต่อเนื่อง โดยมุ่งเน้นไปที่นักการเมือง ผู้ปกป้องสิทธิมนุษยชน ผู้เห็นต่าง และนักวิชาการ
