AnvilEcho 資訊竊取者

伊朗國家支持的威脅行為者與 2024 年 7 月下旬開始針對一位著名猶太人物的魚叉式網路釣魚活動有關。

網路安全研究人員已將這項活動識別為 TA453，該組織在網路安全社群中也以各種名稱聞名，包括APT42 (Mandiant)、Charming Kitten (CrowdStrike)、Damselfly (Symantec)、Mint Sandstorm (Microsoft) 和Yellow Garuda (PwC) 。

攻擊者最初試圖透過無害的電子郵件與目標建立聯繫以建立融洽關係，目的是隨後說服他們點擊威脅連結。

威脅行為者部署以前未知的惡意軟體

該攻擊鏈旨在部署一個名為 BlackSmith 的新惡意軟體工具包，該工具包又傳送了一個名為 AnvilEcho 的 PowerShell 木馬。

據信 TA453 與伊朗伊斯蘭革命衛隊 (IRGC) 有聯繫，以開展有針對性的網路釣魚活動，以推進該國的政治和軍事目標。研究數據表明，APT42 約 60% 的地理目標針對美國和以色列，其他目標包括伊朗和英國

他們的社會工程策略既無情又令人信服。攻擊者冒充合法組織和記者來吸引潛在受害者，逐漸建立信任，然後用充滿惡意軟體的文件或虛假憑證網路釣魚頁面將他們困住。

多階段網路釣魚和社會工程鏈

APT42 最初會使用社會工程策略與目標進行視訊會議，引導他們進入一個登陸頁面，提示他們登錄，然後引導至網路釣魚頁面。另一種方法是發送合法的 PDF 附件，作為社會工程計劃的一部分，以建立信任並鼓勵在 Signal、Telegram 或 WhatsApp 等平台上進行互動。

最近的攻擊始於 2024 年 7 月 22 日，威脅行為者聯繫了與一位未透露姓名的猶太人相關的多個電子郵件地址。他們冒充戰爭研究所（ISW）的研究主任，並邀請目標作為嘉賓參加播客。

據報道，為了回應目標的詢問，TA453 發送了一個受密碼保護的 DocSend URL，該 URL 產生了一個文字文件，其中包含指向合法 ISW 託管播客的連結。這些詐騙電子郵件是從 Understandingthewar.org 網域發送的，試圖模仿實際的 ISW 網站 (understandingwar.org)。

研究人員認為 TA453 的策略是讓目標習慣於點擊連結和輸入密碼，使他們更有可能陷入未來惡意軟體的攻擊。在隨後的訊息中，威脅行為者發送了一個託管 ZIP 檔案（「Podcast Plan-2024.zip」）的 Google Drive URL，其中包含旨在部署 BlackSmith 工具包的 Windows 捷徑 (LNK) 檔案。

AnvilEcho 是一個潛在的資料收集威脅

透過 BlackSmith 工具包提供的 AnvilEcho 被認為可能是先前 PowerShell 植入程式（例如 CharmPower、GorjolEcho、 POWERSTAR和 PowerLess）的繼承者。 BlackSmith 還旨在提供誘餌文件以分散注意力。

值得注意的是，「BlackSmith」這個名字先前曾與資訊安全專家今年稍早發現的瀏覽器竊取程式元件相關聯。該組件與分發 BASICSTAR 的活動相關，該活動針對參與中東事務的知名人士。

AnvilEcho 是一種複雜的 PowerShell 木馬，具有廣泛的功能，主要針對情報收集和資料外洩。其主要功能包括系統偵察、截圖、下載遠端檔案以及透過 FTP 和 Dropbox 上傳敏感資料。

TA453 的網路釣魚活動始終與 IRGC 的情報優先事項保持一致。這種針對猶太知名人物的特殊惡意軟體部署似乎是伊朗針對以色列利益的更廣泛網路努力的一部分。 TA453 仍然是一個持續存在的威脅，主要針對政治家、人權捍衛者、持不同政見者和學者。