AnvilEcho 信息窃取者

从 2024 年 7 月下旬开始，伊朗政府支持的威胁行为者针对一位著名犹太人物发起了鱼叉式网络钓鱼活动。攻击者的目标是部署一种名为 AnvilEcho 的新型情报收集工具。

网络安全研究人员已将此活动确定为 TA453，该组织在网络安全社区中也有多个名称，包括APT42 （Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）。

攻击者最初尝试通过无害的电子邮件与目标建立沟通，以建立融洽的关系，目的是后来说服他们点击威胁链接。

威胁者部署未知恶意软件

该攻击链旨在部署一个名为 BlackSmith 的新型恶意软件工具包，进而传播一个名为 AnvilEcho 的 PowerShell 木马。

据信，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，他们开展有针对性的网络钓鱼活动，以进一步实现该国的政治和军事目标。研究数据显示，APT42 的地理目标中约有 60% 针对美国和以色列，其他目标包括伊朗和英国

他们的社会工程策略既残酷又令人信服。攻击者冒充合法组织和记者来吸引潜在受害者，逐渐建立信任，然后用充满恶意软件的文档或虚假的凭证钓鱼页面诱捕他们。

多阶段网络钓鱼和社会工程链

APT42 最初会使用社会工程学策略与目标进行接触，安排视频会议，将他们引导至登录页面，提示他们登录，然后将其定向到钓鱼页面。另一种方法是发送合法的 PDF 附件作为社会工程学计划的一部分，以建立信任并鼓励在 Signal、Telegram 或 WhatsApp 等平台上进行互动。

最近的攻击始于 2024 年 7 月 22 日，威胁行为者联系了与一位未具名犹太人物相关联的多个电子邮件地址。他们冒充战争研究所 (ISW) 的研究主任，并邀请目标作为嘉宾参加播客。

据报道，TA453 回应目标的询问时，发送了一个受密码保护的 DocSend URL，该 URL 指向一个文本文件，其中包含指向 ISW 托管的合法播客的链接。欺诈性电子邮件是从域名 Understandingthewar.org 发送的，试图模仿真正的 ISW 网站 (Understandingwar.org)。

研究人员认为，TA453 的策略是让目标适应点击链接和输入密码，使他们更有可能成为未来恶意软件传播的目标。在随后的消息中，威胁行为者发送了一个 Google Drive URL，其中包含一个 ZIP 存档（“Podcast Plan-2024.zip”），其中包含一个用于部署 BlackSmith 工具包的 Windows 快捷方式 (LNK) 文件。

AnvilEcho 是一种强大的数据收集威胁

AnvilEcho 通过 BlackSmith 工具包交付，被认为是 CharmPower、GorjolEcho、 POWERSTAR和 PowerLess 等早期 PowerShell 植入程序的可能继承者。BlackSmith 还旨在提供诱饵文档来分散注意力。

值得注意的是，“BlackSmith”这个名称此前曾与信息安全专家今年早些时候发现的浏览器窃取组件有关。该组件与分发 BASICSTAR 的活动有关，该活动针对的是参与中东事务的知名人士。

AnvilEcho 是一款功能强大的复杂 PowerShell 木马，主要用于收集情报和泄露数据。其主要功能包括系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。

TA453 的网络钓鱼活动始终与伊朗革命卫队的情报重点保持一致。此次针对著名犹太人物的恶意软件部署似乎是伊朗针对以色列利益的更广泛网络行动的一部分。TA453 仍然是一个持续的威胁，主要针对政客、人权捍卫者、异见人士和学者。