AnvilEcho Infostealer
Vom iranischen Staat gesponserte Bedrohungsakteure wurden mit Spear-Phishing-Kampagnen in Verbindung gebracht, die ab Ende Juli 2024 auf eine prominente jüdische Persönlichkeit abzielten. Das Ziel der Angreifer war es, ein neues Tool zur Informationsbeschaffung namens AnvilEcho einzusetzen.
Cybersicherheitsforscher haben diese Aktivität als TA453 identifiziert, eine Gruppe, die in der Cybersicherheits-Community auch unter verschiedenen Namen bekannt ist, darunter APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) und Yellow Garuda (PwC).
Die Angreifer versuchten zunächst, über eine harmlose E-Mail mit dem Ziel Kontakt aufzunehmen, um eine Beziehung aufzubauen. Später wollten sie das Opfer dann dazu bringen, auf einen bedrohlichen Link zu klicken.
Inhaltsverzeichnis
Bedrohungsakteure setzen bisher unbekannte Malware ein
Ziel der Angriffskette war die Bereitstellung eines neuen Malware-Toolkits namens BlackSmith, das wiederum einen PowerShell-Trojaner namens AnvilEcho übermittelte.
TA453 steht vermutlich in Verbindung mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran und führt gezielte Phishing-Kampagnen durch, um die politischen und militärischen Ziele des Landes zu erreichen. Forschungsdaten zeigen, dass etwa 60 % der geografischen Angriffe von APT42 auf die USA und Israel gerichtet waren, wobei weitere Ziele der Iran und Großbritannien waren.
Ihre Social-Engineering-Taktiken sind unerbittlich und überzeugend zugleich. Die Angreifer geben sich als legitime Organisationen und Journalisten aus, um potenzielle Opfer anzusprechen. Sie bauen nach und nach Vertrauen auf und locken sie dann mit Malware-verseuchten Dokumenten oder gefälschten Anmeldeinformationen-Phishing-Seiten in die Falle.
Mehrstufige Phishing- und Social-Engineering-Kette
APT42 nutzte zunächst eine Social-Engineering-Taktik, um ein Videotreffen zu vereinbaren. Das Ziel wurde auf eine Landingpage geführt, auf der es sich anmelden musste und dann auf eine Phishing-Seite umgeleitet wurde. Ein anderer Ansatz bestand darin, legitime PDF-Anhänge als Teil eines Social-Engineering-Schemas zu versenden, um Vertrauen aufzubauen und die Interaktion auf Plattformen wie Signal, Telegram oder WhatsApp zu fördern.
Die jüngsten Angriffe begannen am 22. Juli 2024. Der Angreifer kontaktierte mehrere E-Mail-Adressen einer nicht näher genannten jüdischen Persönlichkeit. Er gab sich als Forschungsleiter des Institute for the Study of War (ISW) aus und lud die Zielperson ein, als Gast an einem Podcast teilzunehmen.
Als Antwort auf die Anfrage des Ziels soll TA453 eine passwortgeschützte DocSend-URL gesendet haben, die zu einer Textdatei mit einem Link zu einem legitimen, von ISW gehosteten Podcast führte. Die betrügerischen E-Mails wurden von der Domain understandingthewar.org gesendet und versuchten, die tatsächliche ISW-Website (understandingwar.org) nachzuahmen.
Die Forscher gehen davon aus, dass die Strategie von TA453 darin bestand, das Opfer daran zu gewöhnen, auf Links zu klicken und Passwörter einzugeben, wodurch es bei zukünftigen Malware-Lieferungen wahrscheinlicher wird. In nachfolgenden Nachrichten schickte der Bedrohungsakteur eine Google Drive-URL, die ein ZIP-Archiv ('Podcast Plan-2024.zip') hostete, das eine Windows-Verknüpfungsdatei (LNK) enthielt, die zum Bereitstellen des BlackSmith-Toolkits entwickelt wurde.
AnvilEcho ist eine starke Bedrohung für den Datenerwerb
AnvilEcho, das über das BlackSmith-Toolkit bereitgestellt wird, gilt als wahrscheinlicher Nachfolger früherer PowerShell-Implantate wie CharmPower, GorjolEcho, POWERSTAR und PowerLess. BlackSmith ist außerdem darauf ausgelegt, als Ablenkung ein Lockdokument bereitzustellen.
Es ist bemerkenswert, dass der Name „BlackSmith“ bereits mit einer Browser-Stealer-Komponente in Verbindung gebracht wurde, die Anfang des Jahres von Infosec-Experten identifiziert wurde. Diese Komponente war mit einer Kampagne verknüpft, die BASICSTAR verteilte und sich an hochrangige Personen richtete, die in Nahost-Angelegenheiten involviert sind.
AnvilEcho ist ein hochentwickelter PowerShell-Trojaner mit umfangreichen Funktionen, der in erster Linie auf das Sammeln von Informationen und das Ableiten von Daten abzielt. Zu seinen wichtigsten Funktionen gehören Systemaufklärung, das Erstellen von Screenshots, das Herunterladen von Remotedateien und das Hochladen vertraulicher Daten über FTP und Dropbox.
Die Phishing-Kampagnen von TA453 entsprechen konsequent den Geheimdienstprioritäten der IRGC. Dieser spezielle Malware-Einsatz, der auf eine prominente jüdische Persönlichkeit abzielt, scheint Teil der umfassenderen Cyber-Bemühungen des Iran gegen israelische Interessen zu sein. TA453 bleibt eine anhaltende Bedrohung und konzentriert sich auf Politiker, Menschenrechtsaktivisten, Dissidenten und Akademiker.
