Nhóm mạng TA453 của Iran nhắm mục tiêu lãnh đạo Do Thái bằng mã độc AnvilEcho

Tác giả ChatGPT, T.Tám 21, 2024, 07:27:45 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Người ta đã quan sát thấy những kẻ đe dọa do nhà nước Iran tài trợ đang dàn dựng các chiến dịch lừa đảo trực tuyến nhắm vào một nhân vật Do Thái nổi tiếng bắt đầu từ cuối tháng 7 năm 2024 với mục tiêu cung cấp một công cụ thu thập thông tin tình báo mới có tên là AnvilEcho.

Công ty bảo mật doanh nghiệp Proofpoint đang theo dõi hoạt động dưới tên TA453, trùng lặp với hoạt động được theo dõi bởi cộng đồng an ninh mạng rộng lớn hơn với các biệt danh APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) và Yellow Garuda (PwC).


Các nhà nghiên cứu bảo mật Joshua Miller, Georgi Mladenov, Andrew Northern và Greg Lesnewich cho biết: " Tương tác ban đầu cố gắng thu hút mục tiêu tham gia vào một email lành tính để xây dựng cuộc trò chuyện và sự tin tưởng, sau đó nhấp vào liên kết độc hại tiếp theo". báo cáo được chia sẻ với The Hacker News.

"Chuỗi tấn công đã cố gắng cung cấp một bộ công cụ phần mềm độc hại mới có tên BlackSmith, bộ công cụ này đã phát tán một trojan PowerShell có tên là AnvilEcho."

TA453 được đánh giá có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), thực hiện các chiến dịch lừa đảo có chủ đích nhằm hỗ trợ các ưu tiên chính trị và quân sự của đất nước.

Dữ liệu được Mandiant thuộc sở hữu của Google chia sẻ vào tuần trước cho thấy Hoa Kỳ và Israel chiếm khoảng 60% mục tiêu theo địa lý đã biết của APT42, tiếp theo là Iran và Vương quốc Anh

Các nỗ lực lừa đảo qua mạng xã hội vừa bền bỉ vừa thuyết phục, giả dạng các thực thể và nhà báo hợp pháp để bắt đầu cuộc trò chuyện với các nạn nhân tiềm năng và xây dựng mối quan hệ theo thời gian, trước khi gài bẫy họ vào bẫy lừa đảo thông qua các tài liệu có chứa phần mềm độc hại hoặc các trang thu thập thông tin xác thực giả mạo.

Google cho biết: "APT42 sẽ thu hút mục tiêu bằng kỹ thuật lừa đảo xã hội để thiết lập một cuộc họp video và sau đó liên kết đến một trang đích nơi mục tiêu được nhắc đăng nhập và gửi đến một trang lừa đảo".

"Một mẫu chiến dịch APT42 khác đang gửi các tệp đính kèm PDF hợp pháp như một phần của chiêu dụ kỹ thuật xã hội nhằm tạo dựng lòng tin và khuyến khích mục tiêu tương tác trên các nền tảng khác như Signal, Telegram hoặc WhatsApp."

Nhóm tấn công mới nhất, được Proofpoint quan sát bắt đầu từ ngày 22 tháng 7 năm 2024, liên quan đến việc kẻ đe dọa liên hệ với nhiều địa chỉ email của một nhân vật Do Thái giấu tên, mời họ làm khách cho một podcast trong khi mạo danh Giám đốc Nghiên cứu của Viện Nghiên cứu về Chiến tranh (ISW).

Để trả lời tin nhắn từ mục tiêu, TA453 được cho là đã gửi URL DocSend được bảo vệ bằng mật khẩu, từ đó dẫn đến một tệp văn bản chứa URL tới podcast được lưu trữ hợp pháp trên ISW. Các tin nhắn giả mạo được gửi từ tên miền doingthewar[.]org, rõ ràng là một nỗ lực nhằm bắt chước trang web của ISW ("hiểu biếtwar[.]org").

Proofpoint cho biết: "Có khả năng TA453 đang cố gắng bình thường hóa mục tiêu nhấp vào liên kết và nhập mật khẩu để mục tiêu sẽ làm điều tương tự khi chúng phát tán phần mềm độc hại".

Trong các tin nhắn tiếp theo, tác nhân đe dọa được phát hiện đang trả lời bằng URL Google Drive lưu trữ kho lưu trữ ZIP ("Podcast   Đăng nhập để xem liên kết"), chứa tệp lối tắt Windows (LNK) chịu trách nhiệm phân phối bộ công cụ BlackSmith.

AnvilEcho, được cung cấp bởi BlackSmith, được mô tả là sản phẩm kế thừa có khả năng cho các bộ cấy PowerShell có tên là CharmPower, GorjolEcho, POWERSTAR và PowerLess. BlackSmith cũng được thiết kế để hiển thị tài liệu thu hút như một cơ chế đánh lạc hướng.

Điều đáng chú ý là cái tên "BlackSmith" cũng trùng với thành phần đánh cắp trình duyệt được Volexity mô tả chi tiết vào đầu năm nay liên quan đến chiến dịch phân phối BASICSTAR trong các cuộc tấn công nhằm vào các cá nhân cấp cao làm việc về các vấn đề Trung Đông.

"AnvilEcho là một trojan PowerShell có chức năng mở rộng", Proofpoint cho biết. "Khả năng của AnvilEcho cho thấy sự tập trung rõ ràng vào việc thu thập và lọc thông tin tình báo."

Một số chức năng quan trọng của nó bao gồm tiến hành trinh sát hệ thống, chụp ảnh màn hình, tải xuống các tệp từ xa và tải lên dữ liệu nhạy cảm qua FTP và Dropbox.

Nhà nghiên cứu Joshua Miller của Proofpoint cho biết trong một tuyên bố được chia sẻ với The Hacker News: "Các chiến dịch lừa đảo TA453 [...] đã phản ánh nhất quán các ưu tiên tình báo của IRGC".

"Việc triển khai phần mềm độc hại nhằm mục tiêu vào một nhân vật Do Thái nổi tiếng có thể hỗ trợ các nỗ lực mạng đang diễn ra của Iran chống lại lợi ích của Israel. TA453 luôn được coi là mối đe dọa dai dẳng đối với các chính trị gia, người bảo vệ nhân quyền, nhà bất đồng chính kiến và học giả."

Những phát hiện này được đưa ra vài ngày sau khi HarfangLab tiết lộ một chủng phần mềm độc hại dựa trên Go mới có tên là Cyclops, có thể được phát triển để tiếp nối một cửa hậu Charming Kitten khác có tên mã là BellaCiao, cho thấy kẻ thù đang tích cực trang bị lại kho vũ khí của mình để đáp lại những tiết lộ công khai.. Các mẫu phần mềm độc hại ban đầu có từ tháng 12 năm 2023.

Công ty an ninh mạng Pháp cho biết : "Nó nhằm mục đích chuyển đường hầm ngược API REST sang máy chủ chỉ huy và kiểm soát (C2) nhằm mục đích kiểm soát các máy mục tiêu". "Nó cho phép người vận hành chạy các lệnh tùy ý, thao túng hệ thống tệp của mục tiêu và sử dụng máy bị nhiễm để truy cập vào mạng."

Người ta tin rằng những kẻ đe dọa đã sử dụng Cyclops để nhắm vào một tổ chức phi lợi nhuận hỗ trợ đổi mới và khởi nghiệp ở Lebanon, cũng như một công ty viễn thông ở Afghanistan. Hiện chưa rõ đường xâm nhập chính xác được sử dụng cho các cuộc tấn công.

HarfangLab cho biết: "Việc lựa chọn Go cho phần mềm độc hại Cyclops có một số hàm ý. "Thứ nhất, nó xác nhận sự phổ biến của ngôn ngữ này trong số các nhà phát triển phần mềm độc hại. Thứ hai, số lượng phát hiện ban đầu thấp đối với mẫu này cho thấy các chương trình Go vẫn có thể là một thách thức đối với các giải pháp bảo mật."

"Và cuối cùng, có thể các biến thể Cyclops trên macOS và Linux cũng được tạo ra từ cùng một cơ sở mã và chúng tôi vẫn chưa tìm thấy chúng."