İran devlet destekli tehdit aktörlerinin, AnvilEcho adı verilen yeni bir istihbarat toplama aracı sunma amacıyla Temmuz 2024’ün sonlarında önemli bir Yahudi şahsiyetini hedef alan kimlik avı kampanyaları düzenlediği gözlemlendi.
Kurumsal güvenlik şirketi Proofpoint, faaliyetleri TA453 adı altında izliyor. Bu ad, siber güvenlik topluluğu tarafından APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) ve Yellow Garuda (PwC) adlarıyla takip edilen faaliyetlerle örtüşüyor.
Güvenlik araştırmacıları Joshua Miller, Georgi Mladenov, Andrew Northern ve Greg Lesnewich, The Hacker News ile paylaştıkları raporda, “İlk etkileşim, hedefi, sohbet ve güven oluşturmak için zararsız bir e-postayla etkileşime girmeye ve ardından kötü amaçlı bir bağlantıya tıklamaya ikna etmeye çalıştı” dedi.
“Saldırı zinciri, AnvilEcho adı verilen bir PowerShell trojanını dağıtan BlackSmith adlı yeni bir kötü amaçlı yazılım araç setini dağıtmaya çalıştı.”
TA453’ün, ülkenin siyasi ve askeri önceliklerini desteklemek üzere tasarlanmış hedefli kimlik avı kampanyaları yürüten İran Devrim Muhafızları Ordusu’na (DMO) bağlı olduğu değerlendiriliyor.
Google’ın sahibi olduğu Mandiant’ın geçen hafta paylaştığı veriler, APT42’nin bilinen coğrafi hedeflemesinin yaklaşık %60’ının ABD ve İsrail’e ait olduğunu, bunları İran ve İngiltere’nin takip ettiğini gösteriyor.
Sosyal mühendislik çabaları hem ısrarcı hem de ikna edici olup, potansiyel kurbanlarla sohbet başlatmak ve zamanla bir bağ kurmak için meşru kuruluşlar ve gazeteciler gibi davranarak, onları kötü amaçlı yazılımlarla dolu belgeler veya sahte kimlik bilgisi toplama sayfaları aracılığıyla kimlik avı tuzaklarına düşürüyor.
Google, “APT42, hedef kitleyi bir video görüşmesi ayarlamaya teşvik eden bir sosyal mühendislik tuzağıyla harekete geçiriyor ve ardından hedef kitlenin oturum açması ve bir kimlik avı sayfasına yönlendirilmesi için bir açılış sayfasına yönlendiriyor” dedi.
“APT42’nin bir diğer kampanya şablonu, güven oluşturmak ve hedef kitleyi Signal, Telegram veya WhatsApp gibi diğer platformlarda etkileşime girmeye teşvik etmek için sosyal mühendislik tuzağının bir parçası olarak meşru PDF ekleri göndermektir.”
Proofpoint tarafından 22 Temmuz 2024’te gözlemlenen son saldırılar, tehdit aktörünün ismi açıklanmayan bir Yahudi şahsiyete ait çok sayıda e-posta adresiyle iletişime geçmesini ve kendisini Savaş Çalışmaları Enstitüsü (ISW) Araştırma Direktörü olarak tanıtarak bir podcast’e konuk olmaya davet etmesini içeriyordu.
Hedeften gelen bir mesaja yanıt olarak, TA453’ün parola korumalı bir DocSend URL’si gönderdiği ve bunun da meşru ISW tarafından barındırılan podcast’e giden bir URL içeren bir metin dosyasına yol açtığı söyleniyor. Sahte mesajlar understandingthewar etki alanından gönderildi[.]org, ISW’nin web sitesini (“understandingwar”) taklit etmeye yönelik açık bir girişimdir[.]org”).
Proofpoint, “TA453’ün hedefin bir bağlantıya tıklamasını ve parola girmesini normalleştirmeye çalışması muhtemel, böylece hedef kötü amaçlı yazılım gönderdiğinde de aynısını yapacak” dedi.
Takip eden mesajlarda, tehdit aktörünün, BlackSmith araç setini iletmekten sorumlu bir Windows kısayolu (LNK) dosyası içeren bir ZIP arşivi (“Podcast Plan-2024.zip”) barındıran bir Google Drive URL’siyle yanıt verdiği görüldü.
BlackSmith aracılığıyla teslim edilen AnvilEcho, CharmPower, GorjolEcho, POWERSTAR ve PowerLess olarak bilinen PowerShell implantlarının muhtemel bir halefi olarak tanımlanmıştır. BlackSmith ayrıca bir dikkat dağıtma mekanizması olarak bir yem belgesi görüntülemek üzere tasarlanmıştır.
“BlackSmith” isminin, Volexity’nin bu yılın başlarında Ortadoğu işleriyle ilgilenen üst düzey kişilere yönelik saldırılarda BASICSTAR dağıtımı yapan bir kampanyayla bağlantılı olarak ayrıntılı olarak açıkladığı bir tarayıcı çalma bileşeniyle de örtüştüğünü belirtmekte fayda var.
“AnvilEcho, kapsamlı işlevsellik içeren bir PowerShell trojanıdır,” dedi Proofpoint. “AnvilEcho yetenekleri, istihbarat toplama ve sızdırmaya açık bir odaklanma olduğunu gösteriyor.”
Önemli işlevleri arasında sistem keşfi yapmak, ekran görüntüsü almak, uzaktan dosya indirmek ve hassas verileri FTP ve Dropbox üzerinden yüklemek yer alıyor.
“TA453 kimlik avı kampanyaları […] Proofpoint araştırmacısı Joshua Miller, The Hacker News ile paylaştığı açıklamasında, “IRGC istihbarat önceliklerini tutarlı bir şekilde yansıttık” dedi.
“Önde gelen bir Yahudi figürünü hedef almaya çalışan bu kötü amaçlı yazılım dağıtımı, büyük ihtimalle İsrail çıkarlarına karşı devam eden İran siber çabalarını destekliyor. TA453, politikacılara, insan hakları savunucularına, muhaliflere ve akademisyenlere karşı sürekli bir tehdit olarak ısrarla tutarlıdır.”
Bulgular, HarfangLab’ın Cyclops olarak adlandırılan ve muhtemelen BellaCiao kod adlı başka bir Charming Kitten arka kapısının devamı olarak geliştirilen yeni bir Go tabanlı kötü amaçlı yazılım türünü ifşa etmesinden birkaç gün sonra geldi ve bu, saldırganın kamuya açık ifşalara yanıt olarak cephaneliğini aktif olarak yeniden düzenlediğini gösteriyor. Kötü amaçlı yazılımın ilk örnekleri Aralık 2023’e kadar uzanıyor.
Fransız siber güvenlik şirketi, “Hedeflenen makineleri kontrol etme amacıyla komuta ve kontrol (C2) sunucusuna bir REST API’yi ters tünellemeyi hedefliyor,” dedi. “Operatörlerin keyfi komutlar çalıştırmalarına, hedefin dosya sistemini manipüle etmelerine ve enfekte olmuş makineyi ağa girmek için kullanmalarına olanak tanıyor.”
Tehdit aktörlerinin Cyclops’u Lübnan’da inovasyon ve girişimciliği destekleyen kar amacı gütmeyen bir kuruluşu ve Afganistan’daki bir telekomünikasyon şirketini hedef almak için kullandığına inanılıyor. Saldırılar için kullanılan kesin giriş yolu şu anda bilinmiyor.
“Cyclops kötü amaçlı yazılımı için Go’nun seçilmesinin birkaç sonucu var,” dedi HarfangLab. “Birincisi, bu dilin kötü amaçlı yazılım geliştiricileri arasında popülerliğini doğruluyor. İkincisi, bu örnek için başlangıçta düşük sayıda tespit, Go programlarının güvenlik çözümleri için hala bir zorluk teşkil edebileceğini gösteriyor.”
“Ve son olarak, Cyclops’un macOS ve Linux versiyonlarının da aynı kod tabanından oluşturulmuş olması ve henüz bunları bulamamış olmamız mümkün.”