Se ha observado que actores de amenazas patrocinados por el estado iraní orquestan campañas de phishing dirigidas a una figura judía prominente a partir de fines de julio de 2024 con el objetivo de entregar una nueva herramienta de recopilación de inteligencia llamada AnvilEcho.
La empresa de seguridad empresarial Proofpoint está rastreando la actividad bajo el nombre TA453, que se superpone con la actividad rastreada por la comunidad de ciberseguridad más amplia bajo los nombres APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) y Yellow Garuda (PwC).
«La interacción inicial intentó atraer al objetivo para que interactuara con un correo electrónico benigno para generar una conversación y generar confianza para luego hacer clic en un enlace malicioso de seguimiento», dijeron los investigadores de seguridad Joshua Miller, Georgi Mladenov, Andrew Northern y Greg Lesnewich. dicho en un informe compartido con The Hacker News.
«La cadena de ataque intentó distribuir un nuevo kit de herramientas de malware llamado BlackSmith, que distribuyó un troyano PowerShell denominado AnvilEcho».
Se considera que TA453 está afiliado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI) y lleva a cabo campañas de phishing dirigidas a apoyar las prioridades políticas y militares del país.
Los datos compartidos por Mandiant, propiedad de Google, la semana pasada muestran que Estados Unidos e Israel representaron aproximadamente el 60% de los objetivos geográficos conocidos de APT42, seguidos por Irán y el Reino Unido.
Los esfuerzos de ingeniería social son a la vez persistentes y persuasivos, haciéndose pasar por entidades legítimas y periodistas para iniciar conversaciones con posibles víctimas y construir una relación con el tiempo, antes de atraparlas en sus trampas de phishing a través de documentos cargados de malware o páginas falsas de recolección de credenciales.
«APT42 atraería a su objetivo con un señuelo de ingeniería social para organizar una reunión de video y luego vincularlo a una página de destino donde se le solicitaría al objetivo que iniciara sesión y fuera enviado a una página de phishing», dijo Google.
«Otra plantilla de campaña de APT42 es enviar archivos PDF adjuntos legítimos como parte de un señuelo de ingeniería social para generar confianza y alentar al objetivo a interactuar en otras plataformas como Signal, Telegram o WhatsApp».
El último conjunto de ataques, observado por Proofpoint a partir del 22 de julio de 2024, involucró al actor de amenazas contactando múltiples direcciones de correo electrónico de una figura judía anónima, invitándolos a ser invitados a un podcast mientras se hacía pasar por el Director de Investigación del Instituto para el Estudio de la Guerra (ISW).
En respuesta a un mensaje del objetivo, se dice que TA453 envió una URL de DocSend protegida con contraseña que, a su vez, condujo a un archivo de texto que contenía una URL al podcast legítimo alojado en ISW. Los mensajes falsos se enviaron desde el dominio understandingthewar[.]org, un claro intento de imitar Sitio web de ISW («comprendiendo la guerra[.]org»).
«Es probable que TA453 estuviera intentando normalizar que el objetivo hiciera clic en un enlace e ingresara una contraseña para que el objetivo hiciera lo mismo cuando le enviaran malware», dijo Proofpoint.
En mensajes de seguimiento, se encontró que el actor de amenazas respondía con una URL de Google Drive que alojaba un archivo ZIP («Podcast Plan-2024.zip») que, a su vez, contenía un archivo de acceso directo de Windows (LNK) responsable de entregar el conjunto de herramientas BlackSmith.
AnvilEcho, que se entrega a través de BlackSmith, ha sido descrito como un posible sucesor de los implantes de PowerShell conocidos como CharmPower, GorjolEcho, POWERSTAR y PowerLess. BlackSmith también está diseñado para mostrar un documento de señuelo como mecanismo de distracción.
Vale la pena señalar que el nombre «BlackSmith» también se superpone con un componente ladrón de navegador detallado por Volexity a principios de este año en relación con una campaña que distribuyó BASICSTAR en ataques dirigidos a individuos de alto perfil que trabajaban en asuntos de Medio Oriente.
«AnvilEcho es un troyano PowerShell que contiene una amplia funcionalidad», afirmó Proofpoint. «Las capacidades de AnvilEcho indican un claro enfoque en la recopilación y exfiltración de información».
Algunas de sus funciones importantes incluyen realizar reconocimiento del sistema, tomar capturas de pantalla, descargar archivos remotos y cargar datos confidenciales a través de FTP y Dropbox.
«Campañas de phishing TA453 […] «Han reflejado consistentemente las prioridades de inteligencia del CGRI», dijo el investigador de Proofpoint Joshua Miller en una declaración compartida con The Hacker News.
«Es probable que este malware que intenta atacar a una figura judía prominente apoye los actuales esfuerzos cibernéticos iraníes contra los intereses israelíes. TA453 es una amenaza persistente y persistente contra políticos, defensores de los derechos humanos, disidentes y académicos».
Los hallazgos se producen días después de que HarfangLab revelara una nueva cepa de malware basada en Go denominada Cyclops que posiblemente se haya desarrollado como continuación de otra puerta trasera Charming Kitten con nombre en código BellaCiao, lo que indica que el adversario está reestructurando activamente su arsenal en respuesta a las revelaciones públicas. Las primeras muestras del malware datan de diciembre de 2023.
«Su objetivo es crear un túnel inverso entre una API REST y su servidor de comando y control (C2) con el fin de controlar máquinas específicas», dijo la empresa francesa de ciberseguridad. dicho«Permite a los operadores ejecutar comandos arbitrarios, manipular el sistema de archivos del objetivo y utilizar la máquina infectada para ingresar a la red».
Se cree que los autores de las amenazas utilizaron Cyclops para atacar a una organización sin fines de lucro que apoya la innovación y el espíritu emprendedor en el Líbano, así como a una empresa de telecomunicaciones en Afganistán. Actualmente se desconoce la ruta de entrada exacta utilizada para los ataques.
«La elección de Go para el malware Cyclops tiene varias implicaciones», afirma HarfangLab. «En primer lugar, confirma la popularidad de este lenguaje entre los desarrolladores de malware. En segundo lugar, el número inicialmente bajo de detecciones para esta muestra indica que los programas Go aún pueden representar un desafío para las soluciones de seguridad».
«Y, por último, es posible que las variantes de Cyclops para macOS y Linux también se hayan creado a partir del mismo código base y que aún no las hayamos encontrado».