İranlı tehdit grubu TA453’ün son dönemde başlattığı kötü niyetli kampanya, grubun kimliği gizlenen tanınmış bir Yahudi dini figürünü sahte bir podcast röportaj davetiyle hedef almasının ardından gündeme geldi.
Temmuz 2024’te başlayan saldırı zincirinde, askeri savunma ve dış ilişkiler konularında araştırmalar yapan meşru bir kuruluş olan, kar amacı gütmeyen Amerikan düşünce kuruluşu Savaş Çalışmaları Enstitüsü’nün bir temsilcisinden gelen, ‘Müslüman Dünyasında Yahudi yaşamını keşfetmek’ hakkında olduğu iddia edilen bir podcast’e atıfta bulunan bir dizi e-posta kullanıldı.
TA453, Podcast Davetiyesi Aracılığıyla PowerShell Truva Atı’nı Dağıtıyor
Kampanya, TA453’ün Savaş Çalışmaları Enstitüsü (ISW) Araştırma Direktörünü temsil etme bahanesiyle hedef figür için birden fazla e-posta adresiyle iletişime geçtiği 22 Temmuz 2024’te başladı. Cazibe, hedefin yanıt verdiği bir podcast davetiydi ve TA453, meşru bir ISW podcast URL’si içeren parola korumalı bir metin dosyasına yönlendiren bir DocSend URL’si ile takip etti.
Proofpoint araştırmacıları bunun muhtemelen hedefin davranışını normalleştirme girişimi olduğuna ve gelecekte kötü amaçlı bağlantılara tıklamaya daha yatkın hale geldiğine inanıyor. Saldırganlar daha sonra kötü amaçlı bir LNK dosyası içeren bir ZIP arşivine yönlendiren bir Google Drive URL’si gönderdiler ve bu da AnvilEcho PowerShell trojan’ı da içeren BlackSmith araç setini iletti.
AnvilEcho kötü amaçlı yazılımı, istihbarat toplama ve sızdırma yetenekleri de dahil olmak üzere kapsamlı işlevler içeren bir PowerShell trojanıdır. Daha önce gözlemlenen TA453 örneklerine benzer şifreleme ve ağ iletişim teknikleri kullanır. Kötü amaçlı yazılım, modüler bir yaklaşım kullanmak yerine, birden fazla yeteneği tek bir PowerShell betiğine toplayarak tespit edilmekten kaçınmak için tasarlanmıştır.
AnvilEcho, Send-ReqPacket, FromEncrypt, From-Save, Encode, ToEncrypt ve Get-Rand dahil olmak üzere bilgileri şifrelemek, kodlamak ve dışarı aktarmak için bir dizi işlev kullanır. Kötü amaçlı yazılım ayrıca dosyaları indirmek ve yüklemek için kod içerir ve ekran görüntüleri ve ses yakalar.
Kötü amaçlı yazılımın C2 altyapısı deepspaceocean etki alanında barındırılıyor[.]info, tarihsel TA453 altyapısına benzerlikler taşır. AnvilEcho C2 sunucusu, uzak sunucudan komutları periyodik olarak alarak ve bunları Do-It işlevi aracılığıyla yürüterek sürekli çalışacak şekilde tasarlanmıştır. Do-It işlevi, ağ bağlantısı, dosya işleme, ekran görüntüsü yakalama ve ses sızdırma yetenekleri dahil olmak üzere alınan komuta göre kodun farklı bölümlerini yürütür.
Do-it işleviyle birlikte, 2200 satırlık kötü amaçlı yazılım kodunun sonunda, Redo-It işlevi kötü amaçlı yazılım içindeki tüm PowerShell komutları için orkestrasyon ve yönetim görevi görür. Redo-It işlevi ayrıca anahtar şifrelemesi, antivirüs bilgilerini toplamak için ilk çalıştırmada sistem keşfi, İşletim Sistemi bilgileri, Genel IP Adresi, KurulumYolu, Üretici, BilgisayarAdı ve KullanıcıAdı gibi kötü amaçlı yazılımın diğer birçok bileşenini de yönetir.
Redo-It işlevi tarafından sızdırılan ve şifrelenen bu veriler daha sonra TA453 saldırganının kontrol ettiği altyapıya gönderilir. Bu işlev, kalıcı yürütme için, uzak sunucudan komutları periyodik olarak almak, şifrelerini çözmek ve Do-It aracılığıyla yürütmek için tasarlanmıştır.
İran İslam Devrim Muhafızları Birliği Bağlantısı
Araştırmacılar, TA453’ün bu çabalarının, özellikle İslam Devrim Muhafızları Ordusu İstihbarat Teşkilatı olmak üzere İran hükümetine istihbarat toplama amaçlı olduğunu düşünüyor.
IRGC’nin bireysel üyelerine doğrudan bir bağlantı olmasa da, kötü amaçlı yazılımın TTP’leri, birim numaralandırma ve hedefleme önceliklerindeki çakışmalar da dahil olmak üzere, TA453 kampanyalarının önceki raporlarıyla tutarlıdır. Ayrıca grubun Charming Kitten APT grubuyla birkaç benzerliği paylaştığına inanıyorlar.
Bu taktikler, tehdit aktörlerinin kurbanların güvenini kazanmak ve daha sonra istismar etmek amacıyla kullanıcılara meşru bağlantılar gönderdiği çoklu kimlik taklidinin bir örneğidir.