Des acteurs malveillants parrainés par l’État iranien ont été observés orchestrant des campagnes de spear-phishing ciblant une personnalité juive de premier plan à partir de fin juillet 2024 dans le but de fournir un nouvel outil de collecte de renseignements appelé AnvilEcho.
La société de sécurité d’entreprise Proofpoint suit l’activité sous le nom TA453, qui chevauche l’activité suivie par la communauté plus large de la cybersécurité sous les surnoms APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) et Yellow Garuda (PwC).
« L’interaction initiale visait à inciter la cible à s’engager avec un courrier électronique bénin pour établir une conversation et une relation de confiance, puis à cliquer ensuite sur un lien malveillant de suivi », ont déclaré les chercheurs en sécurité Joshua Miller, Georgi Mladenov, Andrew Northern et Greg Lesnewich. dit dans un rapport partagé avec The Hacker News.
« La chaîne d’attaque a tenté de diffuser une nouvelle boîte à outils de malware appelée BlackSmith, qui a diffusé un cheval de Troie PowerShell baptisé AnvilEcho. »
Il est estimé que TA453 est affilié au Corps des gardiens de la révolution islamique (IRGC) d’Iran et mène des campagnes de phishing ciblées conçues pour soutenir les priorités politiques et militaires du pays.
Les données partagées par Mandiant, propriété de Google, la semaine dernière montrent que les États-Unis et Israël représentaient environ 60 % du ciblage géographique connu d’APT42, suivis de l’Iran et du Royaume-Uni.
Les efforts d’ingénierie sociale sont à la fois persistants et persuasifs, se faisant passer pour des entités légitimes et des journalistes pour initier des conversations avec des victimes potentielles et établir un rapport au fil du temps, avant de les piéger dans leurs pièges de phishing via des documents contenant des logiciels malveillants ou de fausses pages de collecte d’informations d’identification.
« APT42 engageait sa cible avec un leurre d’ingénierie sociale pour organiser une réunion vidéo, puis créait un lien vers une page de destination où la cible était invitée à se connecter et envoyée vers une page de phishing », a déclaré Google.
« Un autre modèle de campagne d’APT42 consiste à envoyer des pièces jointes PDF légitimes dans le cadre d’un leurre d’ingénierie sociale pour renforcer la confiance et encourager la cible à s’engager sur d’autres plateformes comme Signal, Telegram ou WhatsApp. »
La dernière série d’attaques, observée par Proofpoint à partir du 22 juillet 2024, impliquait que l’acteur malveillant contactait plusieurs adresses e-mail d’une personnalité juive anonyme, l’invitant à être l’invité d’un podcast tout en se faisant passer pour le directeur de recherche de l’Institute for the Study of War (ISW).
En réponse à un message de la cible, TA453 aurait envoyé une URL DocSend protégée par un mot de passe qui, à son tour, a conduit à un fichier texte contenant une URL vers le podcast légitime hébergé par ISW. Les faux messages ont été envoyés depuis le domaine understandthewar[.]org, une tentative évidente d’imiter Site Internet de l’ISW (« comprendre la guerre[.] »org »).
« Il est probable que TA453 tentait de normaliser le fait que la cible clique sur un lien et saisisse un mot de passe afin que la cible fasse de même lorsqu’elle diffuse un logiciel malveillant », a déclaré Proofpoint.
Dans les messages de suivi, l’acteur de la menace a été trouvé en train de répondre avec une URL Google Drive hébergeant une archive ZIP (« Podcast Plan-2024.zip ») qui, à son tour, contenait un fichier de raccourci Windows (LNK) responsable de la livraison de l’ensemble d’outils BlackSmith.
AnvilEcho, qui est délivré par BlackSmith, a été décrit comme un successeur probable des implants PowerShell connus sous le nom de CharmPower, GorjolEcho, POWERSTAR et PowerLess. BlackSmith est également conçu pour afficher un document leurre comme mécanisme de distraction.
Il convient de noter que le nom « BlackSmith » chevauche également un composant de vol de navigateur détaillé par Volexity plus tôt cette année en lien avec une campagne qui a distribué BASICSTAR dans des attaques visant des individus de haut niveau travaillant sur les affaires du Moyen-Orient.
« AnvilEcho est un cheval de Troie PowerShell doté de nombreuses fonctionnalités », a déclaré Proofpoint. « Les capacités d’AnvilEcho indiquent clairement qu’il se concentre sur la collecte et l’exfiltration de renseignements. »
Certaines de ses fonctions importantes incluent la reconnaissance du système, la prise de captures d’écran, le téléchargement de fichiers distants et le téléchargement de données sensibles via FTP et Dropbox.
« Campagnes de phishing TA453 […] « Ils ont toujours reflété les priorités de renseignement du CGRI », a déclaré Joshua Miller, chercheur de Proofpoint, dans un communiqué partagé avec The Hacker News.
« Ce déploiement de malware qui tente de cibler une personnalité juive de premier plan soutient probablement les efforts cybernétiques iraniens en cours contre les intérêts israéliens. TA453 est résolument cohérent en tant que menace persistante contre les politiciens, les défenseurs des droits de l’homme, les dissidents et les universitaires. »
Ces résultats surviennent quelques jours après que HarfangLab a révélé une nouvelle souche de malware basée sur Go appelée Cyclops, qui a peut-être été développée à la suite d’une autre porte dérobée Charming Kitten portant le nom de code BellaCiao, ce qui indique que l’adversaire réorganise activement son arsenal en réponse aux révélations publiques. Les premiers échantillons du malware remontent à décembre 2023.
« Il vise à inverser le tunneling d’une API REST vers son serveur de commande et de contrôle (C2) dans le but de contrôler les machines ciblées », a déclaré la société française de cybersécurité dit« Il permet aux opérateurs d’exécuter des commandes arbitraires, de manipuler le système de fichiers de la cible et d’utiliser la machine infectée pour accéder au réseau. »
On pense que les auteurs de la menace ont utilisé Cyclops pour cibler une organisation à but non lucratif qui soutient l’innovation et l’entrepreneuriat au Liban, ainsi qu’une société de télécommunications en Afghanistan. La voie d’entrée exacte utilisée pour les attaques est actuellement inconnue.
« Le choix de Go pour le malware Cyclops a plusieurs implications », a déclaré HarfangLab. « Tout d’abord, cela confirme la popularité de ce langage parmi les développeurs de malwares. Ensuite, le nombre initialement faible de détections pour cet échantillon indique que les programmes Go peuvent encore représenter un défi pour les solutions de sécurité. »
« Et enfin, il est possible que les variantes macOS et Linux de Cyclops aient également été créées à partir de la même base de code et que nous ne les ayons pas encore trouvées. »