Die von staatlichen iranischen Akteuren unterstützten Bedrohungsakteure wurden dabei beobachtet, Spear-Phishing-Kampagnen zu orchestrieren, die auf eine prominente jüdische Persönlichkeit abzielen und seit Ende Juli 2024 das Ziel verfolgen, ein neues Intelligenztool namens AnvilEcho zu verbreiten.
Das Sicherheitsunternehmen Proofpoint verfolgt die Aktivität unter dem Namen TA453, die mit Aktivitäten übereinstimmt, die von der breiteren Cybersicherheitsgemeinschaft unter den Namen APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfy (Symantec), Mint Sandstorm (Microsoft) und Yellow Garuda (PwC) verfolgt werden.
“Der erste Kontakt versuchte, das Ziel zu verleiten, sich mit einer unverfänglichen E-Mail zu engagieren, um ein Gespräch und Vertrauen aufzubauen, um dann später auf einen folgenden bösartigen Link zu klicken”, sagten die Sicherheitsforscher Joshua Miller, Georgi Mladenov, Andrew Northern und Greg Lesnewich in einem Bericht, der The Hacker News zur Verfügung gestellt wurde.
“Die Angriffskette versuchte, ein neues Malware-Toolkit namens BlackSmith zu liefern, das einen PowerShell-Trojaner namens AnvilEcho lieferte.”
TA453 wird dem Islamischen Revolutionsgardenkorps (IRGC) des Irans zugeordnet und führt gezielte Phishing-Kampagnen durch, die dazu dienen, die politischen und militärischen Prioritäten des Landes zu unterstützen.
Daten, die von dem zu Google gehörenden Unternehmen Mandiant letzte Woche veröffentlicht wurden, zeigen, dass die USA und Israel etwa 60% des geografischen Ziels von APT42 ausmachten, gefolgt von Iran und dem Vereinigten Königreich.
Die Social-Engineering-Anstrengungen sind sowohl hartnäckig als auch überzeugend und tarnt sich als legitime Einheiten und Journalisten, um Gespräche mit potenziellen Opfern zu initiieren und im Laufe der Zeit eine Vertrauensbasis aufzubauen, bevor sie diese in ihren Phishing-Fallen durch mit Malware versehene Dokumente oder gefälschte Anmeldeseiten verwickeln.
“APT42 würde ihr Ziel mit einem Social-Engineering-Köder engagieren, um ein Videotreffen einzurichten und dann zu einer Landingpage verlinken, auf der das Ziel aufgefordert wurde, sich anzumelden und zu einer Phishing-Seite geleitet wurde”, sagte Google.
“Ein weiteres APT42-Kampagnenvorlage ist das Senden legitimer PDF-Anhänge als Teil eines Social-Engineering-Köders, um Vertrauen aufzubauen und das Ziel zu ermutigen, sich auf anderen Plattformen wie Signal, Telegram oder WhatsApp zu engagieren.”
Die neueste Angriffsserie, die Proofpoint seit dem 22. Juli 2024 beobachtet hat, beinhaltete, dass der Bedrohungsakteur mehrere E-Mail-Adressen für eine ungenannte jüdische Persönlichkeit kontaktierte und sie einlud, Gast bei einem Podcast zu sein, während er den Forschungsdirektor des Institute for the Study of War (ISW) imitierte.
Als Reaktion auf eine Nachricht des Ziels soll TA453 eine passwortgeschützte DocSend-URL gesendet haben, die wiederum zu einer Textdatei mit einer URL zu dem legitimen von ISW gehosteten Podcast führte. Die gefälschten Nachrichten wurden von der Domain understandingthewar[.]org gesendet, ein klarer Versuch, die Website des ISW (“understandingwar[.]org”) zu imitieren.
“Es ist wahrscheinlich, dass TA453 versuchte, das Ziel zu normalisieren, indem es auf einen Link klickte und ein Passwort eingab, damit das Ziel dasselbe tun würde, wenn sie Malware auslieferten”, sagte Proofpoint.
In nachfolgenden Nachrichten wurde festgestellt, dass der Bedrohungsakteur mit einer Google Drive-URL geantwortet hat, die ein ZIP-Archiv (“Podcast Plan-2024.zip”) hostete, das wiederum eine Verknüpfungsdatei (LNK) für die Bereitstellung des BlackSmith-Toolsets enthielt.
AnvilEcho, das mit BlackSmith geliefert wird, wurde als wahrscheinlicher Nachfolger der PowerShell-Implantate CharmPower, GorjolEcho, POWERSTAR und PowerLess beschrieben. BlackSmith ist auch darauf ausgelegt, ein Köderdokument als Ablenkungsmechanismus anzuzeigen.
Es ist erwähnenswert, dass der Name “BlackSmith” auch mit einem Browser-Stealer-Komponenten von Volexity früher in diesem Jahr in Verbindung mit einer Kampagne, die BASICSTAR bei Angriffen auf hochrangige Personen, die im Nahen Osten tätig sind, verteilte, übereinstimmt.
“AnvilEcho ist ein PowerShell-Trojaner mit umfangreicher Funktionalität”, sagte Proofpoint. “Die Fähigkeiten von AnvilEcho deuten auf einen klaren Fokus auf die Sammlung und Extraktion von Informationen hin.”
Einige seiner wichtigen Funktionen umfassen die Durchführung von Systemerkundungen, das Aufnehmen von Bildschirmfotos, das Herunterladen von Remote-Dateien und das Hochladen sensibler Daten über FTP und Dropbox.
“TA453-Phishing-Kampagnen […] haben konsequent die Prioritäten des IRGC-Geheimdienstes widergespiegelt”, sagte Proofpoint-Forscher Joshua Miller in einer Erklärung, die mit The Hacker News geteilt wurde.
“Diese Malware-Bereitstellung, die versucht, eine prominente jüdische Persönlichkeit ins Visier zu nehmen, unterstützt wahrscheinlich die laufenden iranischen Cyberbemühungen gegen israelische Interessen. TA453 ist hartnäckig als eine anhaltende Bedrohung gegen Politiker, Menschenrechtsverteidiger, Dissidenten und Akademiker.”
Die Ergebnisse kommen Tage nachdem HarfangLab eine neue auf Go basierende Malware namens Cyclops veröffentlicht hat, die möglicherweise als Nachfolger eines anderen Charming Kitten-Backdoors namens BellaCiao entwickelt wurde, was darauf hinweist, dass der Gegner aktiv sein Arsenal als Reaktion auf öffentliche Enthüllungen umrüstet. Frühe Samples der Malware stammen aus dem Dezember 2023.
“Es zielt darauf ab, eine Reverse-Tunnelung einer REST-API zu seinem Command-and-Control (C2)-Server zum Zweck der Kontrolle von gezielten Maschinen durchzuführen”, sagte das französische Cybersicherheitsunternehmen. “Es ermöglicht den Betreibern, beliebige Befehle auszuführen, das Dateisystem des Ziels zu manipulieren und die infizierte Maschine zu nutzen, um in das Netzwerk einzudringen.”
Es wird vermutet, dass die Bedrohungsakteure Cyclops eingesetzt haben, um eine gemeinnützige Organisation zu identifizieren, die Innovation und Unternehmertum im Libanon unterstützt, sowie ein Telekommunikationsunternehmen in Afghanistan. Der genaue Eingangsweg, der für die Angriffe verwendet wurde, ist derzeit unbekannt.
“Die Wahl von Go für die Cyclops-Malware hat einige Auswirkungen”, sagte HarfangLab. “Erstens bestätigt es die Beliebtheit dieser Sprache unter Malware-Entwicklern. Zweitens deutet die anfänglich geringe Anzahl von Erkennungen für dieses Sample darauf hin, dass Go-Programme für Sicherheitslösungen immer noch eine Herausforderung darstellen können.”
“Und schließlich ist es möglich, dass auch macOS- und Linux-Varianten von Cyclops aus demselben Code erstellt wurden und dass wir sie noch nicht gefunden haben.”
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.
Quelle: https://ift.tt/OVmhSrc