İranlı tehdit aktörü TA453, AnvilEcho adlı bir PowerShell trojanını içeren yeni bir kötü amaçlı yazılım araç takımı olan BlackSmith’i dağıtmayı amaçlayan sahte bir podcast davetiyle tanınmış bir dini figürü hedef alan bir kimlik avı kampanyası başlattı.
TA453’ün önceki kötü amaçlı yazılım işlevlerini tek bir betikte birleştiren AnvilEcho, amacı istihbarat toplamak ve veri sızdırmak olan geçmiş kampanyalara benzer şekilde şifreleme ve ağ iletişimini kullanıyor.
TA453, 22 Temmuz 2024’te tanınmış bir Yahudi şahsiyetini hedef alan bir kimlik avı kampanyası başlattı.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Kendini Savaş Araştırmaları Enstitüsü Araştırma Direktörü olarak tanıtan saldırgan, hedefini bir podcast davetiyle kandırdı.
Saldırgan, yanıt aldıktan sonra, hedefi bağlantılara tıklamaya ve parola girmeye şartlandırmak için bir sosyal mühendislik taktiği olarak hizmet eden meşru bir ISW podcast URL’si içeren parola korumalı bir DocSend bağlantısı gönderdi; bu da potansiyel olarak kötü amaçlı yazılım gönderme girişiminin öncesinde gerçekleşti.
Siber tehdit grubu, Şubat 2024’te sahte bir alan adı üzerinden Savaş Çalışmaları Enstitüsü’nü (ISW) taklit ederek ve hedef alınan kişinin hem iş hem de kişisel e-posta adreslerine sahte bir podcast daveti göndererek dini bir figürü hedef alan bir kimlik avı kampanyası başlattı.
TA453, saldırıyı daha da meşrulaştırmak için kontrol altındaki bir etki alanından gelen e-postaları kullandı ve imzaya bir Hotmail hesabı ekledi.
Hedef kitlenin güvenini kazandıktan sonra, podcast planı gibi gizlenmiş kötü amaçlı bir LNK dosyası içeren bir Google Drive bağlantısı gönderdiler.
LNK’ye tıklandığında, TA453’ün AnvilEcho PowerShell Truva Atı’nı dağıtan bir araç seti olan BlackSmith devreye girer.
TA453, tespit edilmekten kaçınmak için taktiklerini geliştirerek ve daha önce ayrı olan modülleri sorunsuz bir dağıtım için bir araya getiren AnvilEcho adlı monolitik bir PowerShell betiği sunarak PowerShell arka kapılarından yararlanmaya devam ediyor.
TA453, enfeksiyon zincirini gizleyerek analiz ve istihbarat toplamayı engellemeyi amaçlıyor ve muhtemelen GorjolEcho, TAMECURL ve CharmPower gibi araçların halefi olan modüler arka kapı yaklaşımında ısrarcı olduğunu gösteriyor.
BlackSmith kötü amaçlı yazılım bulaşma zinciri, kötü amaçlı DLL’ler ve steganografik olarak gizlenmiş bir PowerShell betiği içeren bir ZIP arşivini PNG görüntüsü içerisinde bırakan gizli bir LNK dosyasıyla başlıyor.
Bir yükleyici olan soshi.dll, bir kalıcılık mekanizması oluşturur ve TA453 tarafından kontrol edilen bir sunucudan eksik bileşenleri alır.
Stager toni.dll, antivirüs programını atlatıyor, PowerShell yükleyicisini şifresini çözüyor ve ardından sızdırmaya odaklanan AnvilEcho betiğini çalıştırıyor.
AnvilEcho, C2 sunucusuyla iletişim kurar, benzersiz bir tanımlayıcı üretir ve şifreleme ve ağ iletişim modülleri aracılığıyla veri hırsızlığına karşı çeşitli işlevler sunar.
TA453 (Charming Kitten) tarafından geliştirilen bir PowerShell trojanıdır ve orkestrasyon için Redo-It’i, C2 sunucusu deepspaceocean.info’dan alınan komutların yürütülmesi için ise Do-It’i kullanır.
Redo-It sistem keşif bilgilerini toplayıp şifreleyerek TA453 altyapısına gönderirken, Do-It alınan komutlara göre ekran görüntüsü alma, dosya yükleme ve indirme, ses kayıtları toplama gibi çeşitli işlevleri yürütür.
Proofpoint’e göre, TA453’ün bu bilgileri istihbarat toplama amacıyla kullanması, İran hükümetinin çıkarlarını destekliyor olabilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces