تستهدف المجموعة السيبرانية الإيرانية TA453 الزعيم اليهودي ببرنامج AnvilEcho الخبيث الجديد

وقد لوحظت جهات التهديد الإيرانية التي ترعاها الدولة وهي تنظم حملات تصيد احتيالي تستهدف شخصية يهودية بارزة بدءًا من أواخر يوليو 2024 بهدف تقديم أداة جديدة لجمع المعلومات الاستخبارية تسمى AnvilEcho.

تقوم شركة أمن المؤسسات Proofpoint بتتبع النشاط تحت اسم TA453، والذي يتداخل مع النشاط الذي يتتبعه مجتمع الأمن السيبراني الأوسع تحت الألقاب APT42 (Mandiant)، وCharming Kitten (CrowdStrike)، وDamselfly (Symantec)، وMint Sandstorm (Microsoft)، وYellow. جارودا (بي دبليو سي).

“حاول التفاعل الأولي جذب الهدف للتعامل مع رسالة بريد إلكتروني حميدة لبناء محادثة وثقة ثم النقر بعد ذلك على رابط ضار للمتابعة،” الباحثون الأمنيون جوشوا ميلر، وجورجي ملادينوف، وأندرو نورثرن، وجريج ليسنيويتش. قال في تقرير تمت مشاركته مع The Hacker News.

“حاولت سلسلة الهجوم تقديم مجموعة أدوات برامج ضارة جديدة تسمى BlackSmith، والتي قدمت حصان طروادة PowerShell يطلق عليه اسم AnvilEcho.”

تم تقييم TA453 على أنها تابعة للحرس الثوري الإسلامي الإيراني (IRGC)، حيث تقوم بتنفيذ حملات تصيد مستهدفة مصممة لدعم الأولويات السياسية والعسكرية للبلاد.

تُظهر البيانات التي شاركتها شركة Mandiant المملوكة لشركة Google الأسبوع الماضي أن الولايات المتحدة وإسرائيل استحوذتا على ما يقرب من 60% من الاستهداف الجغرافي المعروف لـ APT42، تليها إيران والمملكة المتحدة.

تتميز جهود الهندسة الاجتماعية بأنها مستمرة ومقنعة، حيث تتنكر في هيئة كيانات وصحفيين شرعيين لبدء محادثات مع الضحايا المحتملين وبناء علاقة مع مرور الوقت، قبل الوقوع في فخ التصيد عبر المستندات المليئة بالبرامج الضارة أو صفحات جمع بيانات الاعتماد الزائفة.

وقالت جوجل: “ستقوم APT42 بإشراك هدفها من خلال إغراء الهندسة الاجتماعية لإعداد اجتماع فيديو ثم الارتباط بالصفحة المقصودة حيث يُطلب من الهدف تسجيل الدخول وإرساله إلى صفحة تصيد”.

“يقوم قالب آخر لحملة APT42 بإرسال مرفقات PDF مشروعة كجزء من إغراء الهندسة الاجتماعية لبناء الثقة وتشجيع الهدف على التفاعل على منصات أخرى مثل Signal أو Telegram أو WhatsApp.”

تضمنت المجموعة الأخيرة من الهجمات، التي رصدتها Proofpoint اعتبارًا من 22 يوليو 2024، اتصال جهة التهديد بعدة عناوين بريد إلكتروني لشخصية يهودية لم يذكر اسمها، ودعوتهم ليكونوا ضيوفًا في بودكاست أثناء انتحال شخصية مدير الأبحاث في معهد دراسة اليهود. الحرب (ISW).

ردًا على رسالة من الهدف، يقال إن TA453 أرسل عنوان URL DocSend محمي بكلمة مرور والذي أدى بدوره إلى ملف نصي يحتوي على عنوان URL للبودكاست الشرعي الذي تستضيفه ISW. تم إرسال الرسائل الزائفة من المجال فهم الحرب[.]org، محاولة واضحة لتقليد موقع ISW (“فهم الحرب[.]المنظمة”).

وقال Proofpoint: “من المحتمل أن TA453 كان يحاول ضبط الهدف من خلال النقر على رابط وإدخال كلمة مرور، لذا فإن الهدف سيفعل الشيء نفسه عندما يقوم بتسليم البرامج الضارة”.

في رسائل المتابعة، تم العثور على جهة التهديد وهي ترد باستخدام عنوان URL لـ Google Drive يستضيف أرشيف ZIP (“Podcast Plan-2024.zip”) والذي يحتوي بدوره على ملف اختصار Windows (LNK) المسؤول عن تسليم مجموعة أدوات BlackSmith. .

تم وصف AnvilEcho، الذي يتم تسليمه عن طريق BlackSmith، بأنه خليفة محتمل لغرسات PowerShell المعروفة باسم CharmPower، وGorjolEcho، وPOWERSTAR، وPowerLess. تم تصميم BlackSmith أيضًا لعرض مستند إغراء كآلية لتشتيت الانتباه.

تجدر الإشارة إلى أن اسم “BlackSmith” يتداخل أيضًا مع مكون سرقة المتصفح الذي تم تفصيله بواسطة Volexity في وقت سابق من هذا العام فيما يتعلق بحملة وزعت BASICSTAR في هجمات تستهدف أفرادًا بارزين يعملون في شؤون الشرق الأوسط.

وقال Proofpoint: “AnvilEcho هو حصان طروادة PowerShell الذي يحتوي على وظائف واسعة النطاق”. “تشير قدرات AnvilEcho إلى التركيز الواضح على جمع المعلومات الاستخبارية والتسلل.”

تشمل بعض وظائفه المهمة إجراء استطلاع للنظام، والتقاط لقطات الشاشة، وتنزيل الملفات عن بعد، وتحميل البيانات الحساسة عبر FTP وDropbox.

“حملات التصيد الاحتيالي TA453 […] وقال جوشوا ميلر، الباحث في Proofpoint، في بيان تمت مشاركته مع The Hacker News: “لقد عكست باستمرار أولويات استخبارات الحرس الثوري الإيراني”.

“إن نشر البرامج الضارة هذا الذي يحاول استهداف شخصية يهودية بارزة من المرجح أن يدعم الجهود السيبرانية الإيرانية المستمرة ضد المصالح الإسرائيلية. ويعتبر TA453 ثابتًا بشكل ثابت باعتباره تهديدًا مستمرًا ضد السياسيين والمدافعين عن حقوق الإنسان والمعارضين والأكاديميين.”

تأتي هذه النتائج بعد أيام من كشف HarfangLab عن سلالة جديدة من البرامج الضارة المستندة إلى Go والمشار إليها باسم Cyclops والتي ربما تم تطويرها كمتابعة لباب خلفي آخر من نوع Charming Kitten يحمل الاسم الرمزي BellaCiao، مما يشير إلى أن الخصم يعيد تجهيز ترسانته بشكل نشط استجابةً للإفصاحات العامة. . يعود تاريخ العينات المبكرة من البرامج الضارة إلى ديسمبر 2023.

“إنها تهدف إلى عكس نفق REST API إلى خادم القيادة والتحكم (C2) الخاص بها لأغراض التحكم في الأجهزة المستهدفة” ، شركة الأمن السيبراني الفرنسية قال. “إنه يسمح للمشغلين بتشغيل أوامر عشوائية، والتلاعب بنظام ملفات الهدف، واستخدام الجهاز المصاب للدخول في الشبكة.”

ويُعتقد أن الجهات الفاعلة في مجال التهديد استخدمت Cyclops لاستهداف منظمة غير ربحية تدعم الابتكار وريادة الأعمال في لبنان، بالإضافة إلى شركة اتصالات في أفغانستان. طريق الدخول الدقيق المستخدم للهجمات غير معروف حاليًا.

وقال HarfangLab: “إن اختيار Go for the Cyclops البرمجيات الخبيثة له بعض الآثار”. “أولاً، يؤكد هذا على شعبية هذه اللغة بين مطوري البرامج الضارة. ثانيًا، يشير العدد المنخفض في البداية لعمليات الاكتشاف لهذه العينة إلى أن برامج Go ربما لا تزال تمثل تحديًا للحلول الأمنية.”

“وأخيرًا، من الممكن أن تكون إصدارات Cyclops لنظامي التشغيل MacOS وLinux قد تم إنشاؤها أيضًا من نفس قاعدة التعليمات البرمجية ولم نعثر عليها بعد.”