AnvilEcho Bilgi Hırsızı
İran devlet destekli tehdit aktörlerinin, Temmuz 2024'ün sonlarında başlayan önemli bir Yahudi şahsiyetini hedef alan kimlik avı kampanyalarıyla bağlantısı kuruldu. Saldırganların amacı, AnvilEcho olarak bilinen yeni bir istihbarat toplama aracını konuşlandırmaktı.
Siber güvenlik araştırmacıları bu aktiviteyi siber güvenlik camiasında APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) ve Yellow Garuda (PwC) gibi çeşitli isimlerle de bilinen TA453 adlı grup olarak tanımladılar.
Saldırganlar, başlangıçta hedef kitleyle zararsız bir e-posta yoluyla iletişim kurarak yakınlık kurmaya çalıştılar; daha sonra hedef kitleyi tehdit edici bir bağlantıya tıklamaya ikna etmeyi amaçladılar.
İçindekiler
Tehdit Aktörleri Daha Önce Bilinmeyen Kötü Amaçlı Yazılımları Dağıtıyor
Saldırı zinciri, BlackSmith adı verilen yeni bir kötü amaçlı yazılım araç setini dağıtmayı amaçlıyordu; bu araç seti de AnvilEcho olarak bilinen bir PowerShell Truva atını dağıtıyordu.
TA453'ün, ülkenin siyasi ve askeri hedeflerini ilerletmek için hedefli kimlik avı kampanyaları yürüten İran İslam Devrim Muhafızları Kolordusu (IRGC) ile bağlantılı olduğuna inanılıyor. Araştırma verileri, APT42'nin coğrafi hedeflemesinin yaklaşık %60'ının ABD ve İsrail'e yönelik olduğunu ve ek hedefler arasında İran ve İngiltere'nin de bulunduğunu gösteriyor
Sosyal mühendislik taktikleri hem amansız hem de ikna edicidir. Saldırganlar, potansiyel kurbanlarla etkileşime girmek için meşru kuruluşları ve gazetecileri taklit eder, onları kötü amaçlı yazılım yüklü belgelerle veya sahte kimlik bilgisi kimlik avı sayfalarıyla tuzağa düşürmeden önce yavaş yavaş güven oluştururlar.
Çok Aşamalı Kimlik Avı ve Sosyal Mühendislik Zinciri
APT42, başlangıçta hedef kitleyle bir video görüşmesi ayarlamak için sosyal mühendislik taktiği kullanarak etkileşime girecek ve onları oturum açmaları için yönlendirildikleri bir açılış sayfasına yönlendirecek ve ardından bir kimlik avı sayfasına yönlendirecekti. Başka bir yaklaşım, Signal, Telegram veya WhatsApp gibi platformlarda güven oluşturmak ve etkileşimi teşvik etmek için bir sosyal mühendislik planının parçası olarak meşru PDF ekleri göndermeyi içeriyordu.
En son saldırılar 22 Temmuz 2024'te başladı ve tehdit aktörü isimsiz bir Yahudi şahsiyetle ilişkilendirilen birden fazla e-posta adresine ulaştı. Kendilerini Savaş Çalışmaları Enstitüsü'nün (ISW) Araştırma Direktörü olarak tanıttılar ve hedefi bir podcast'e konuk olarak katılmaya davet ettiler.
Hedefin sorgusuna yanıt olarak, TA453'ün parola korumalı bir DocSend URL'si gönderdiği ve bunun da meşru bir ISW tarafından barındırılan podcast'e bağlantı içeren bir metin dosyasına yol açtığı bildirildi. Sahte e-postalar, gerçek ISW web sitesini (understandingwar.org) taklit etme girişimi olan understandingthewar.org etki alanından gönderildi.
Araştırmacılar, TA453'ün stratejisinin hedefi bağlantılara tıklamaya ve parola girmeye alıştırmak olduğunu ve gelecekteki kötü amaçlı yazılım teslimatlarına kanma olasılığını artırdığını düşünüyor. Sonraki mesajlarda, tehdit aktörü BlackSmith araç setini dağıtmak için tasarlanmış bir Windows kısayolu (LNK) dosyası içeren bir ZIP arşivi ('Podcast Plan-2024.zip') barındıran bir Google Drive URL'si gönderdi.
AnvilEcho Güçlü Bir Veri Toplama Tehdidi
BlackSmith araç takımı aracılığıyla sunulan AnvilEcho, CharmPower, GorjolEcho, POWERSTAR ve PowerLess gibi önceki PowerShell implantlarının muhtemel bir halefi olarak kabul edilir. BlackSmith ayrıca bir dikkat dağıtıcı olarak bir yem belgesi sunmak üzere tasarlanmıştır.
'BlackSmith' isminin daha önce bu yılın başlarında bilgi güvenliği uzmanları tarafından tanımlanan bir tarayıcı hırsızı bileşeniyle ilişkilendirilmiş olması dikkat çekicidir. Bu bileşen, Orta Doğu işlerine karışmış yüksek profilli kişileri hedef alan BASICSTAR'ı dağıtan bir kampanyayla ilişkilendirilmişti.
AnvilEcho, öncelikli olarak istihbarat toplama ve veri sızdırma amaçlı, kapsamlı işlevselliğe sahip sofistike bir PowerShell trojanıdır. Temel özellikleri arasında sistem keşfi, ekran görüntüsü alma, uzak dosyaları indirme ve FTP ve Dropbox aracılığıyla hassas verileri yükleme bulunur.
TA453'ün kimlik avı kampanyaları, IRGC'nin istihbarat öncelikleriyle tutarlı bir şekilde örtüşüyor. Önemli bir Yahudi figürünü hedef alan bu özel kötü amaçlı yazılım dağıtımı, İran'ın İsrail çıkarlarına karşı daha geniş siber çabalarının bir parçası gibi görünüyor. TA453, politikacılara, insan hakları savunucularına, muhaliflere ve akademisyenlere odaklanarak kalıcı bir tehdit olmaya devam ediyor.
