Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Kẻ trộm Kẻ đánh cắp thông tin AnvilEcho

Kẻ đánh cắp thông tin AnvilEcho

Đến năm Mezo năm Kẻ trộm
Dịch sang:
Tiếng Việt Nam

Các tác nhân đe dọa do nhà nước Iran tài trợ đã có liên quan đến các chiến dịch lừa đảo nhắm vào một nhân vật Do Thái nổi tiếng bắt đầu từ cuối tháng 7 năm 2024. Mục tiêu của những kẻ tấn công là triển khai một công cụ thu thập thông tin tình báo mới được gọi là AnvilEcho.

Các nhà nghiên cứu an ninh mạng đã xác định hoạt động này là TA453, một nhóm cũng được cộng đồng an ninh mạng biết đến với nhiều tên gọi khác nhau, bao gồm APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) và Yellow Garuda (PwC).

Những kẻ tấn công ban đầu cố gắng liên lạc với mục tiêu thông qua một email vô hại để xây dựng mối quan hệ, với mục đích sau đó thuyết phục họ nhấp vào một liên kết đe dọa.

Các tác nhân đe dọa triển khai phần mềm độc hại chưa được biết đến trước đó

Chuỗi tấn công nhằm mục đích triển khai một bộ công cụ phần mềm độc hại mới có tên là BlackSmith, sau đó phát tán Trojan PowerShell có tên là AnvilEcho.

TA453 được cho là có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), tiến hành các chiến dịch lừa đảo có mục tiêu để thúc đẩy các mục tiêu chính trị và quân sự của đất nước. Dữ liệu nghiên cứu chỉ ra rằng khoảng 60% mục tiêu địa lý của APT42 hướng đến Hoa Kỳ và Israel, với các mục tiêu bổ sung bao gồm Iran và Vương quốc Anh

Chiến thuật kỹ thuật xã hội của họ vừa dai dẳng vừa thuyết phục. Những kẻ tấn công mạo danh các tổ chức và nhà báo hợp pháp để thu hút các nạn nhân tiềm năng, dần dần xây dựng lòng tin trước khi bẫy họ bằng các tài liệu chứa phần mềm độc hại hoặc các trang lừa đảo thông tin xác thực giả mạo.

Chuỗi lừa đảo và kỹ thuật xã hội nhiều giai đoạn

APT42 ban đầu sẽ sử dụng chiến thuật kỹ thuật xã hội để sắp xếp một cuộc họp video, dẫn họ đến một trang đích nơi họ được nhắc đăng nhập và sau đó được chuyển hướng đến một trang lừa đảo. Một cách tiếp cận khác liên quan đến việc gửi các tệp đính kèm PDF hợp lệ như một phần của kế hoạch kỹ thuật xã hội để xây dựng lòng tin và khuyến khích tương tác trên các nền tảng như Signal, Telegram hoặc WhatsApp.

Các cuộc tấn công gần đây nhất bắt đầu vào ngày 22 tháng 7 năm 2024, với việc kẻ tấn công liên hệ với nhiều địa chỉ email có liên quan đến một nhân vật Do Thái giấu tên. Chúng đóng giả là Giám đốc nghiên cứu của Viện nghiên cứu chiến tranh (ISW) và mời mục tiêu tham gia với tư cách là khách mời trong một podcast.

Để đáp lại yêu cầu của mục tiêu, TA453 được báo cáo là đã gửi một URL DocSend được bảo vệ bằng mật khẩu, dẫn đến một tệp văn bản có chứa liên kết đến một podcast hợp pháp do ISW lưu trữ. Các email gian lận được gửi từ tên miền understandingthewar.org, một nỗ lực bắt chước trang web ISW thực tế (understandingwar.org).

Các nhà nghiên cứu tin rằng chiến lược của TA453 là làm cho mục tiêu quen với việc nhấp vào liên kết và nhập mật khẩu, khiến chúng có nhiều khả năng bị lừa bởi các đợt phân phối phần mềm độc hại trong tương lai. Trong các tin nhắn tiếp theo, tác nhân đe dọa đã gửi một URL Google Drive lưu trữ một kho lưu trữ ZIP ('Podcast Plan-2024.zip'), chứa tệp phím tắt Windows (LNK) được thiết kế để triển khai bộ công cụ BlackSmith.

AnvilEcho là mối đe dọa thu thập dữ liệu mạnh mẽ

AnvilEcho, được cung cấp thông qua bộ công cụ BlackSmith, được coi là sự kế thừa có khả năng cho các bản cài PowerShell trước đây như CharmPower, GorjolEcho, POWERSTAR và PowerLess. BlackSmith cũng được thiết kế để trình bày một tài liệu nhử mồi như một sự đánh lạc hướng.

Điều đáng chú ý là tên 'BlackSmith' trước đây đã được liên kết với một thành phần đánh cắp trình duyệt được các chuyên gia bảo mật thông tin xác định vào đầu năm nay. Thành phần này được liên kết với một chiến dịch phân phối BASICSTAR, nhắm vào những cá nhân có địa vị cao liên quan đến các vấn đề Trung Đông.

AnvilEcho là một trojan PowerShell tinh vi với chức năng mở rộng, chủ yếu nhắm vào việc thu thập thông tin tình báo và đánh cắp dữ liệu. Các tính năng chính của nó bao gồm trinh sát hệ thống, chụp ảnh màn hình, tải xuống các tệp từ xa và tải lên dữ liệu nhạy cảm qua FTP và Dropbox.

Các chiến dịch lừa đảo của TA453 luôn phù hợp với các ưu tiên tình báo của IRGC. Việc triển khai phần mềm độc hại cụ thể này nhắm vào một nhân vật Do Thái nổi tiếng dường như là một phần trong các nỗ lực mạng rộng lớn hơn của Iran chống lại lợi ích của Israel. TA453 vẫn là mối đe dọa dai dẳng, tập trung vào các chính trị gia, người bảo vệ nhân quyền, người bất đồng chính kiến và học giả.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Lừa đảo, Thư rác
37,922
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...

Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho...

Tin nhắn cảnh báo giả mạo
29,615
Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho phép' là một loại quảng cáo bật lên xuất hiện trên màn hình của người dùng khi duyệt internet. Những cửa sổ bật lên này có thể khá đáng báo động đối với người dùng khi chúng thúc giục họ nhấp vào nút "cho phép" để tiếp tục sử dụng trang web mà họ hiện đang truy cập. Các cửa sổ bật lên này được liên kết với các chương trình không mong...
Đang tải...