Er zijn vanaf eind juli 2024 door de Iraanse staat gesponsorde cybercriminelen waargenomen die spear-phishingcampagnes organiseerden die gericht waren op een prominente Joodse figuur. Het doel was om een nieuw hulpmiddel voor inlichtingenverzameling te ontwikkelen, genaamd AnvilEcho.
Bedrijfsbeveiligingsbedrijf Proofpoint houdt de activiteit bij onder de naam TA453, wat overlapt met de activiteit die door de bredere cybersecuritygemeenschap wordt bijgehouden onder de namen APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) en Yellow Garuda (PwC).
“Bij de eerste interactie werd geprobeerd het doelwit te verleiden tot een onschuldige e-mail om zo een gesprek en vertrouwen op te bouwen, om vervolgens op een schadelijke vervolglink te klikken”, aldus beveiligingsonderzoekers Joshua Miller, Georgi Mladenov, Andrew Northern en Greg Lesnewich in een rapport dat werd gedeeld met The Hacker News.
“De aanvalsketen probeerde een nieuwe malware-toolkit genaamd BlackSmith te verspreiden, die een PowerShell-trojan met de naam AnvilEcho verspreidde.”
Er wordt aangenomen dat TA453 banden heeft met de Islamitische Revolutionaire Garde van Iran (IRGC) en dat de organisatie gerichte phishingcampagnes uitvoert ter ondersteuning van de politieke en militaire prioriteiten van het land.
Gegevens die vorige week door Mandiant, eigendom van Google, werden gedeeld, laten zien dat de VS en Israël goed waren voor ongeveer 60% van de bekende geografische targeting van APT42, gevolgd door Iran en het Verenigd Koninkrijk.
De pogingen tot social engineering zijn zowel hardnekkig als overtuigend. Ze doen zich voor als legitieme instanties en journalisten om gesprekken te beginnen met potentiële slachtoffers en in de loop van de tijd een band op te bouwen. Vervolgens worden de slachtoffers gevangen in hun phishingvallen via documenten vol malware of valse pagina’s voor het verzamelen van inloggegevens.
“APT42 benaderde zijn doelwit met een social engineering-lokaas om een videovergadering op te zetten en linkte vervolgens naar een landingspagina waar het doelwit werd gevraagd in te loggen en naar een phishingpagina werd gestuurd”, aldus Google.
“Een andere APT42-campagnesjabloon verstuurt legitieme PDF-bijlagen als onderdeel van een social engineering-truc om vertrouwen op te bouwen en het doelwit aan te moedigen om op andere platforms te communiceren, zoals Signal, Telegram of WhatsApp.”
De laatste reeks aanvallen, die Proofpoint vanaf 22 juli 2024 observeerde, betrof de hacker die contact opnam met meerdere e-mailadressen van een anonieme Joodse figuur en hem uitnodigde om te gast te zijn in een podcast, waarbij hij zich voordeed als de onderzoeksdirecteur van het Institute for the Study of War (ISW).
Als reactie op een bericht van het doelwit zou TA453 een met een wachtwoord beveiligde DocSend URL hebben verzonden die op zijn beurt leidde naar een tekstbestand met een URL naar de legitieme door ISW gehoste podcast. De valse berichten werden verzonden vanaf het domein understandingthewar(.)org, een duidelijke poging om de website van ISW (“understandingwar(.)org”) na te bootsen.
“Het is waarschijnlijk dat TA453 probeerde om het klikken op een link en het invoeren van een wachtwoord te normaliseren, zodat het doelwit hetzelfde zou doen bij het verspreiden van malware”, aldus Proofpoint.
In vervolgberichten werd vastgesteld dat de aanvaller antwoordde met een URL van Google Drive met daarin een ZIP-archief (“Podcast Plan-2024.zip”) dat op zijn beurt een Windows-snelkoppeling (LNK) bevatte die verantwoordelijk was voor het leveren van de BlackSmith-toolset.
AnvilEcho, dat wordt geleverd door middel van BlackSmith, is beschreven als een waarschijnlijke opvolger van de PowerShell-implantaten bekend als CharmPower, GorjolEcho, POWERSTAR en PowerLess. BlackSmith is ook ontworpen om een lokdocument weer te geven als afleidingsmechanisme.
Het is opmerkelijk dat de naam “BlackSmith” ook overlapt met een browserstelende component die Volexity eerder dit jaar beschreef in verband met een campagne waarbij BASICSTAR werd verspreid in aanvallen die gericht waren op bekende personen die zich bezighielden met zaken in het Midden-Oosten.
“AnvilEcho is een PowerShell-trojan met uitgebreide functionaliteit”, aldus Proofpoint. “De mogelijkheden van AnvilEcho geven aan dat de focus duidelijk ligt op het verzamelen en exfiltreren van inlichtingen.”
Belangrijke functies zijn onder meer het uitvoeren van systeemverkenning, het maken van schermafbeeldingen, het downloaden van externe bestanden en het uploaden van gevoelige gegevens via FTP en Dropbox.
“TA453-phishingcampagnes (…) weerspiegelen consequent de prioriteiten van de inlichtingendienst van de IRGC”, aldus Proofpoint-onderzoeker Joshua Miller in een verklaring die werd gedeeld met The Hacker News.
“Deze malware-implementatie die een prominente Joodse figuur probeert te targeten, ondersteunt waarschijnlijk de voortdurende Iraanse cyberaanvallen tegen Israëlische belangen. TA453 is hardnekkig consistent als een aanhoudende bedreiging voor politici, mensenrechtenverdedigers, dissidenten en academici.”
De bevindingen komen dagen nadat HarfangLab een nieuwe Go-gebaseerde malware-stam onthulde die Cyclops wordt genoemd en die mogelijk is ontwikkeld als een vervolg op een andere Charming Kitten-backdoor met de codenaam BellaCiao, wat aangeeft dat de tegenstander zijn arsenaal actief aan het herstructureren is als reactie op openbare onthullingen. Vroege samples van de malware dateren uit december 2023.
“Het doel is om een REST API te reverse-tunnelen naar zijn command-and-control (C2) server om de doelmachines te besturen,” aldus het Franse cybersecuritybedrijf. “Hiermee kunnen operators willekeurige opdrachten uitvoeren, het bestandssysteem van het doelwit manipuleren en de geïnfecteerde machine gebruiken om in het netwerk te draaien.”
Er wordt aangenomen dat de dreigingsactoren Cyclops hebben gebruikt om een non-profitorganisatie die innovatie en ondernemerschap in Libanon ondersteunt, en een telecommunicatiebedrijf in Afghanistan, uit te kiezen. De exacte toegangsroute die voor de aanvallen is gebruikt, is momenteel onbekend.
“De keuze voor Go voor de Cyclops-malware heeft een paar implicaties,” zei HarfangLab. “Ten eerste bevestigt het de populariteit van deze taal onder malwareontwikkelaars. Ten tweede geeft het aanvankelijk lage aantal detecties voor dit voorbeeld aan dat Go-programma’s nog steeds een uitdaging kunnen vormen voor beveiligingsoplossingen.”
“En ten slotte is het mogelijk dat macOS- en Linux-varianten van Cyclops ook op basis van dezelfde codebase zijn gemaakt en dat we die nog moeten vinden.”
