AnvilEcho Infostealer
Спонсоровані державою іранські суб’єкти загрози були пов’язані з фішинговими кампаніями, спрямованими проти відомого єврейського діяча, починаючи з кінця липня 2024 року. Метою зловмисників було розгорнути новий інструмент збору розвідданих, відомий як AnvilEcho.
Дослідники з кібербезпеки ідентифікували цю діяльність як TA453, групу, також відому в спільноті кібербезпеки під різними назвами, зокрема APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) і Yellow Garuda (PwC). .
Спочатку зловмисники намагалися встановити зв’язок із ціллю за допомогою нешкідливого електронного листа, щоб налагодити стосунки, з наміром пізніше переконати їх натиснути загрозливе посилання.
Зміст
Зловмисники розгортають раніше невідомі шкідливі програми
Ланцюжок атак був спрямований на розгортання нового набору шкідливих програм під назвою BlackSmith, який, у свою чергу, створив троян PowerShell, відомий як AnvilEcho.
Вважається, що TA453 пов’язаний з Корпусом вартових Ісламської революції (КВІР), який проводить цілеспрямовані фішингові кампанії для досягнення політичних і військових цілей країни. Дані досліджень показують, що приблизно 60% географічного націлювання APT42 було спрямовано на США та Ізраїль, а додаткові цілі включають Іран та Великобританію.
Їхня тактика соціальної інженерії водночас невблаганна й переконлива. Зловмисники видають себе за законні організації та журналістів, щоб залучити потенційних жертв, поступово зміцнюючи довіру, перш ніж захопити їх за допомогою документів із зловмисним програмним забезпеченням або підроблених сторінок для фішингу облікових даних.
Багатоетапний ланцюжок фішингу та соціальної інженерії
APT42 спочатку залучав свою цільову особу, використовуючи тактику соціальної інженерії, щоб організувати відеозустріч, спрямовуючи їх на цільову сторінку, де їм було запропоновано ввійти, а потім спрямовувати їх на фішингову сторінку. Інший підхід передбачав надсилання легітимних PDF-додатків як частину схеми соціальної інженерії для зміцнення довіри та заохочення взаємодії на таких платформах, як Signal, Telegram або WhatsApp.
Останні атаки почалися 22 липня 2024 року, коли зловмисник звернувся до кількох електронних адрес, пов’язаних з неназваною єврейською фігурою. Вони представилися керівником досліджень Інституту вивчення війни (ISW) і запросили ціль взяти участь як гість у подкасті.
Повідомляється, що у відповідь на запит цілі TA453 надіслав захищену паролем URL-адресу DocSend, яка призвела до текстового файлу з посиланням на законний подкаст, розміщений на ISW. Шахрайські електронні листи були надіслані з домену understandingthewar.org, намагаючись імітувати справжній веб-сайт ISW (understandingwar.org).
Дослідники вважають, що стратегія TA453 полягала в тому, щоб привчати ціль до натискання посилань і введення паролів, щоб збільшити ймовірність того, що вони попадуться на майбутні поставки зловмисного програмного забезпечення. У наступних повідомленнях зловмисник надіслав URL-адресу Google Drive, на якій розміщено ZIP-архів («Podcast Plan-2024.zip»), який містив файл ярлика Windows (LNK), призначений для розгортання набору інструментів BlackSmith.
AnvilEcho є потужною загрозою для збирання даних
AnvilEcho, наданий через інструментарій BlackSmith, вважається ймовірним наступником попередніх імплантатів PowerShell, таких як CharmPower, GorjolEcho, POWERSTAR і PowerLess. BlackSmith також розроблений, щоб представити документ-приманку як відволікаючий фактор.
Варто зазначити, що ім’я «BlackSmith» раніше асоціювалося з компонентом викрадача браузера, який експерти з інфосекцій ідентифікували на початку цього року. Цей компонент був пов’язаний з кампанією розповсюдження BASICSTAR, орієнтованою на високопоставлених осіб, залучених у справи Близького Сходу.
AnvilEcho — це складний троян PowerShell із широкою функціональністю, насамперед спрямований на збір розвідувальних даних і викрадання даних. Його основні функції включають розвідку системи, створення знімків екрана, завантаження віддалених файлів і завантаження конфіденційних даних через FTP і Dropbox.
Фішингові кампанії TA453 узгоджено відповідають пріоритетам розвідки КВІР. Це конкретне розгортання зловмисного програмного забезпечення, націлене на видатного єврейського діяча, здається, є частиною ширших кібер-зусиль Ірану проти інтересів Ізраїлю. TA453 залишається постійною загрозою, зосередженою на політиках, правозахисниках, дисидентах і науковцях.
