Atores de ameaças patrocinados pelo estado iraniano foram observados organizando campanhas de spear-phishing direcionadas a uma figura judaica proeminente a partir de julho de 2024, com o objetivo de entregar uma nova ferramenta de coleta de inteligência chamada AnvilEcho.
A empresa de segurança empresarial Proofpoint está acompanhando a atividade sob o nome TA453, que se sobrepõe à atividade rastreada pela comunidade de cibersegurança sob os apelidos APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) e Yellow Garuda (PwC).
"A interação inicial tentou atrair o alvo para se envolver com um e-mail benigno para construir conversa e confiança, para então clicar subsequentemente em um link malicioso", disseram os pesquisadores de segurança Joshua Miller, Georgi Mladenov, Andrew Northern e Greg Lesnewich em um relatório compartilhado.
A cadeia de ataque tentou entregar um novo kit de ferramentas de malware chamado BlackSmith, que entregou um trojan PowerShell apelidado de AnvilEcho.
O TA453 é avaliado como afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Irã, realizando campanhas de phishing direcionadas que são projetadas para apoiar as prioridades políticas e militares do país.
Dados compartilhados pelo Mandiant, de propriedade do Google, na semana passada mostram que os EUA e Israel representaram cerca de 60% do alvo geográfico conhecido do APT42, seguidos pelo Irã e pelo Reino Unido.
Os esforços de engenharia social são tanto persistentes quanto persuasivos, se disfarçando como entidades legítimas e jornalistas para iniciar conversas com vítimas em potencial e construir rapport ao longo do tempo, antes de prendê-los em suas armadilhas de phishing por meio de documentos infectados por malware ou páginas falsas de coleta de credenciais.
"O APT42 engajaria seu alvo com uma isca de engenharia social para configurar uma reunião por vídeo e, em seguida, vincular a uma página de destino onde o alvo era solicitado a fazer login e enviado para uma página de phishing", disse o Google.
Outro template de campanha do APT42 é enviar anexos PDF legítimos como parte de uma isca de engenharia social para construir confiança e incentivar o alvo a engajar-se em outras plataformas como Signal, Telegram ou WhatsApp.
O último conjunto de ataques, observado pela Proofpoint a partir de 22 de julho de 2024, envolveu o ator de ameaça contatando vários endereços de e-mail para uma figura judaica não nomeada, convidando-a para ser uma convidada para um podcast enquanto se passava pelo Diretor de Pesquisa do Instituto para o Estudo da Guerra (ISW).
Em resposta a uma mensagem do alvo, TA453 teria enviado um URL DocSend protegido por senha que, por sua vez, levava a um arquivo de texto contendo um URL para o podcast hospedado legitimamente no ISW.
As mensagens falsas foram enviadas do domínio understandingthewar[.]org, uma clara tentativa de imitar o site do ISW ("understandingwar[.]org").
"É provável que o TA453 estivesse tentando normalizar o alvo clicando em um link e inserindo uma senha para que o alvo fizesse o mesmo quando eles entregassem malware", disse a Proofpoint.
Em mensagens de acompanhamento, o ator de ameaça foi encontrado respondendo com um URL do Google Drive hospedando um arquivo ZIP ("Podcast Plan-2024.zip") que, por sua vez, continha um arquivo de atalho do Windows (LNK) responsável por entregar o conjunto de ferramentas BlackSmith.
AnvilEcho, que é entregue por meio de BlackSmith, foi descrito como um possível sucessor dos implantes PowerShell conhecidos como CharmPower, GorjolEcho, POWERSTAR e PowerLess.
BlackSmith também é projetado para exibir um documento de isca como mecanismo de distração.
Vale ressaltar que o nome "BlackSmith" também se sobrepõe a um componente stealer de navegador detalhado pela Volexity no início deste ano em conexão com uma campanha que distribuiu BASICSTAR em ataques direcionados a indivíduos de alto perfil que trabalham em assuntos do Oriente Médio.
"AnvilEcho é um trojan PowerShell que contém funcionalidades extensas", disse a Proofpoint.
"As capacidades do AnvilEcho indicam um claro foco na coleta de inteligência e exfiltração."
Algumas das suas funções importantes incluem conduzir reconhecimento do sistema, tirar capturas de tela, baixar arquivos remotos e fazer upload de dados sensíveis via FTP e Dropbox.
"As campanhas de phishing do TA453 [...] têm consistentemente refletido as prioridades de inteligência do IRGC", disse o pesquisador da Proofpoint Joshua Miller.
Esse desdobramento de malware tentando alvejar uma figura judaica proeminente provavelmente apoia os esforços cibernéticos iranianos contínuos contra interesses israelenses.
O TA453 é consistentemente persistente como uma ameaça contra políticos, defensores dos direitos humanos, dissidentes e acadêmicos.
Os achados vêm dias depois da HarfangLab divulgar uma nova linhagem de malware baseada em Go chamada Cyclops, que possivelmente foi desenvolvida como um acompanhamento de outro backdoor do Charming Kitten codinome BellaCiao, indicando que o adversário está ativamente reequipando seu arsenal em resposta a divulgações públicas.
As primeiras amostras do malware datam de dezembro de 2023. Seu objetivo é fazer o tunneling reverso de uma API REST para seu servidor de comando e controle (C2) para fins de controle das máquinas alvo", disse a empresa francesa de cibersegurança.
Permite que os operadores executem comandos arbitrários, manipulem o sistema de arquivos do alvo e usem a máquina infectada para se infiltrar na rede.
Acredita-se que os atores de ameaças usaram o Cyclops para visar uma organização sem fins lucrativos que apoia a inovação e empreendedorismo no Líbano, bem como uma empresa de telecomunicações no Afeganistão.
A rota exata de ingresso usada para os ataques é atualmente desconhecida. "A escolha de Go para o malware Cyclops tem algumas implicações", disse a HarfangLab.
Primeiramente, confirma a popularidade desta linguagem entre os desenvolvedores de malware.
Em segundo lugar, o número inicialmente baixo de detecções para esta amostra indica que programas Go ainda podem representar um desafio para soluções de segurança.
E, finalmente, é possível que variantes de macOS e Linux do Cyclops também tenham sido criadas a partir da mesma base de código e que ainda temos que encontrá-las.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...