Robador de información de AnvilEcho
Los actores de amenazas patrocinados por el estado iraní han sido vinculados a campañas de phishing dirigidas a una figura judía prominente a partir de fines de julio de 2024. El objetivo de los atacantes era implementar una nueva herramienta de recopilación de inteligencia conocida como AnvilEcho.
Los investigadores de ciberseguridad han identificado esta actividad como TA453, un grupo también conocido en la comunidad de ciberseguridad por varios nombres, incluidos APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) y Yellow Garuda (PwC).
Los atacantes inicialmente intentaron establecer comunicación con el objetivo a través de un correo electrónico inofensivo para construir una relación, con la intención de convencerlos posteriormente de hacer clic en un enlace amenazante.
Tabla de contenido
Los actores de amenazas implementan malware previamente desconocido
La cadena de ataque tenía como objetivo implementar un nuevo kit de herramientas de malware llamado BlackSmith, que a su vez distribuía un troyano PowerShell conocido como AnvilEcho.
Se cree que TA453 está vinculado al Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI), que lleva a cabo campañas de phishing dirigidas a promover los objetivos políticos y militares del país. Los datos de la investigación indican que aproximadamente el 60% de los ataques geográficos de APT42 se han dirigido a Estados Unidos e Israel, con objetivos adicionales como Irán y el Reino Unido.
Sus tácticas de ingeniería social son implacables y convincentes. Los atacantes se hacen pasar por organizaciones y periodistas legítimos para atraer a las víctimas potenciales y, poco a poco, van ganando confianza antes de atraparlas con documentos cargados de malware o páginas de phishing con credenciales falsas.
Cadena de ingeniería social y phishing en múltiples etapas
APT42 inicialmente contactaba a su objetivo usando una táctica de ingeniería social para organizar una reunión por video, lo que lo llevaba a una página de destino donde se le solicitaba que iniciara sesión y luego lo dirigía a una página de phishing. Otro enfoque implicaba enviar archivos PDF adjuntos legítimos como parte de un plan de ingeniería social para generar confianza y alentar la interacción en plataformas como Signal, Telegram o WhatsApp.
Los ataques más recientes comenzaron el 22 de julio de 2024, cuando el actor de la amenaza se puso en contacto con varias direcciones de correo electrónico asociadas con una figura judía anónima. Se hizo pasar por el director de investigación del Instituto para el Estudio de la Guerra (ISW) e invitó al objetivo a participar como invitado en un podcast.
En respuesta a la consulta del objetivo, se informa que TA453 envió una URL de DocSend protegida con contraseña, que conducía a un archivo de texto que contenía un enlace a un podcast legítimo alojado en ISW. Los correos electrónicos fraudulentos se enviaron desde el dominio understandingthewar.org, en un intento de imitar el sitio web real de ISW (understandingwar.org).
Los investigadores creen que la estrategia de TA453 era acostumbrar al objetivo a hacer clic en enlaces e ingresar contraseñas, lo que lo hacía más propenso a caer en futuras entregas de malware. En mensajes posteriores, el actor de amenazas envió una URL de Google Drive que alojaba un archivo ZIP ('Podcast Plan-2024.zip'), que contenía un archivo de acceso directo de Windows (LNK) diseñado para implementar el kit de herramientas BlackSmith.
AnvilEcho es una amenaza potente para la recopilación de datos
AnvilEcho, distribuido a través del kit de herramientas BlackSmith, se considera un posible sucesor de los implantes PowerShell anteriores, como CharmPower, GorjolEcho, POWERSTAR y PowerLess. BlackSmith también está diseñado para presentar un documento atractivo como distracción.
Cabe destacar que el nombre "BlackSmith" ya se había asociado anteriormente con un componente ladrón de navegadores identificado por expertos en seguridad informática a principios de este año. Este componente estaba vinculado a una campaña que distribuía BASICSTAR y que estaba dirigida a personas de alto perfil implicadas en asuntos de Oriente Medio.
AnvilEcho es un sofisticado troyano PowerShell con una amplia funcionalidad, cuyo principal objetivo es la recopilación de información y la exfiltración de datos. Entre sus principales funciones se incluyen el reconocimiento del sistema, la realización de capturas de pantalla, la descarga de archivos remotos y la carga de datos confidenciales a través de FTP y Dropbox.
Las campañas de phishing de TA453 se alinean constantemente con las prioridades de inteligencia del CGRI. Este despliegue de malware en particular, dirigido contra una figura judía prominente, parece ser parte de los esfuerzos cibernéticos más amplios de Irán contra los intereses israelíes. TA453 sigue siendo una amenaza persistente, que se centra en políticos, defensores de los derechos humanos, disidentes y académicos.
