AnvilEcho Infostealer
Ang Iranian state-sponsored threat actors ay na-link sa spear-phishing campaign na naglalayon sa isang kilalang Jewish figure simula sa huling bahagi ng Hulyo 2024. Ang layunin ng mga attacker ay mag-deploy ng bagong intelligence-gathering tool na kilala bilang AnvilEcho.
Kinilala ng mga mananaliksik sa cybersecurity ang aktibidad na ito bilang TA453, isang grupo na kilala rin sa komunidad ng cybersecurity sa iba't ibang pangalan, kabilang ang APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft), at Yellow Garuda (PwC) .
Sa simula, sinubukan ng mga umaatake na magtatag ng komunikasyon sa target sa pamamagitan ng isang hindi nakakapinsalang email upang bumuo ng kaugnayan, na may layunin na kumbinsihin sila sa ibang pagkakataon na mag-click sa isang nagbabantang link.
Talaan ng mga Nilalaman
Ang mga Threat Actor ay Nag-deploy ng Dati Hindi Kilalang Malware
Nilalayon ng attack chain na mag-deploy ng bagong toolkit ng malware na tinatawag na BlackSmith, na naghatid naman ng PowerShell Trojan na kilala bilang AnvilEcho.
Ang TA453 ay pinaniniwalaang nauugnay sa Islamic Revolutionary Guard Corps (IRGC) ng Iran, na nagsasagawa ng mga naka-target na kampanya sa phishing upang isulong ang mga layuning pampulitika at militar ng bansa. Isinasaad ng data ng pananaliksik na humigit-kumulang 60% ng geographic na pag-target ng APT42 ay nakadirekta sa US at Israel, na may mga karagdagang target kabilang ang Iran at UK
Ang kanilang mga taktika sa social engineering ay parehong walang humpay at nakakumbinsi. Ang mga umaatake ay nagpapanggap bilang mga lehitimong organisasyon at mamamahayag upang makipag-ugnayan sa mga potensyal na biktima, unti-unting bumuo ng tiwala bago sila mahuli ng mga dokumentong puno ng malware o pekeng kredensyal na mga pahina ng phishing.
Multi-stage Phishing at Social Engineering Chain
Ang APT42 ay unang sasagutin ang kanilang target gamit ang isang social engineering tactic upang ayusin ang isang video meeting, na humahantong sa kanila sa isang landing page kung saan sila sinenyasan na mag-log in at pagkatapos ay idirekta sa isang phishing page. Kasama sa isa pang diskarte ang pagpapadala ng mga lehitimong PDF attachment bilang bahagi ng isang social engineering scheme upang bumuo ng tiwala at hikayatin ang pakikipag-ugnayan sa mga platform tulad ng Signal, Telegram o WhatsApp.
Nagsimula ang pinakabagong mga pag-atake noong Hulyo 22, 2024, kung saan ang aktor ng banta ay nakipag-ugnayan sa maraming email address na nauugnay sa isang hindi pinangalanang Jewish figure. Nag-pose sila bilang Direktor ng Pananaliksik ng Institute for the Study of War (ISW) at inimbitahan ang target na lumahok bilang panauhin sa isang podcast.
Bilang tugon sa pagtatanong ng target, ang TA453 ay iniulat na nagpadala ng isang protektadong password na DocSend URL, na humantong sa isang text file na naglalaman ng isang link sa isang lehitimong ISW-hosted na podcast. Ang mga mapanlinlang na email ay ipinadala mula sa domain na understandingthewar.org, isang pagtatangkang gayahin ang aktwal na website ng ISW (understandingwar.org).
Naniniwala ang mga mananaliksik na ang diskarte ng TA453 ay i-acclimate ang target sa pag-click sa mga link at paglalagay ng mga password, na ginagawang mas malamang na mahulog sila para sa mga paghahatid ng malware sa hinaharap. Sa mga kasunod na mensahe, nagpadala ang threat actor ng URL ng Google Drive na nagho-host ng ZIP archive ('Podcast Plan-2024.zip'), na naglalaman ng Windows shortcut (LNK) file na idinisenyo para i-deploy ang BlackSmith toolkit.
Ang AnvilEcho ay isang Potent Data-Harvesting Threat
Ang AnvilEcho, na inihatid sa pamamagitan ng BlackSmith toolkit, ay itinuturing na malamang na kahalili sa mga nakaraang PowerShell implant gaya ng CharmPower, GorjolEcho, POWERSTAR at PowerLess. Dinisenyo din ang BlackSmith na magpakita ng dokumento ng pang-akit bilang isang distraction.
Kapansin-pansin na ang pangalang 'BlackSmith' ay dati nang nauugnay sa isang bahagi ng browser stealer na natukoy ng mga eksperto sa infosec noong unang bahagi ng taong ito. Ang bahaging ito ay na-link sa isang kampanyang namamahagi ng BASICSTAR, na nagta-target ng mga indibidwal na may mataas na profile na kasangkot sa mga gawain sa Middle Eastern.
Ang AnvilEcho ay isang sopistikadong PowerShell trojan na may malawak na functionality, na pangunahing naglalayon sa pagkolekta ng intelligence at pag-exfiltrate ng data. Kasama sa mga pangunahing tampok nito ang system reconnaissance, pagkuha ng mga screenshot, pag-download ng malalayong file, at pag-upload ng sensitibong data sa pamamagitan ng FTP at Dropbox.
Ang mga kampanya ng phishing ng TA453 ay patuloy na naaayon sa mga priyoridad ng intelligence ng IRGC. Ang partikular na pag-deploy ng malware na ito na nagta-target sa isang kilalang Jewish figure ay mukhang bahagi ng mas malawak na cyber efforts ng Iran laban sa mga interes ng Israeli. Ang TA453 ay nananatiling isang patuloy na banta, na nakatuon sa mga pulitiko, tagapagtanggol ng karapatang pantao, mga dissidente at akademya.
