Voleur d'informations AnvilEcho
Des acteurs malveillants parrainés par l'État iranien ont été liés à des campagnes de spear-phishing visant une personnalité juive de premier plan à partir de fin juillet 2024. L'objectif des attaquants était de déployer un nouvel outil de collecte de renseignements connu sous le nom d'AnvilEcho.
Les chercheurs en cybersécurité ont identifié cette activité comme étant TA453, un groupe également connu dans la communauté de la cybersécurité sous divers noms, notamment APT42 (Mandiant), Charming Kitten (CrowdStrike), Damselfly (Symantec), Mint Sandstorm (Microsoft) et Yellow Garuda (PwC).
Les attaquants ont d’abord tenté d’établir une communication avec la cible via un courrier électronique inoffensif pour établir un rapport, dans le but de la convaincre ultérieurement de cliquer sur un lien menaçant.
Table des matières
Les acteurs de la menace déploient des logiciels malveillants jusque-là inconnus
La chaîne d’attaque visait à déployer une nouvelle boîte à outils de malware appelée BlackSmith, qui à son tour a fourni un cheval de Troie PowerShell connu sous le nom d’AnvilEcho.
TA453 serait lié au Corps des gardiens de la révolution islamique (IRGC) d'Iran, qui mène des campagnes de phishing ciblées pour promouvoir les objectifs politiques et militaires du pays. Les données de recherche indiquent qu'environ 60 % du ciblage géographique d'APT42 a été dirigé vers les États-Unis et Israël, avec des cibles supplémentaires telles que l'Iran et le Royaume-Uni
Leurs tactiques d’ingénierie sociale sont à la fois implacables et convaincantes. Les attaquants se font passer pour des organisations et des journalistes légitimes afin d’attirer des victimes potentielles, en instaurant progressivement un climat de confiance avant de les piéger avec des documents contenant des logiciels malveillants ou de fausses pages de phishing d’identifiants.
Chaîne d'hameçonnage et d'ingénierie sociale à plusieurs étapes
APT42 a d’abord utilisé une tactique d’ingénierie sociale pour organiser une réunion vidéo avec sa cible, puis l’a dirigée vers une page de destination où elle était invitée à se connecter, puis redirigée vers une page de phishing. Une autre approche consistait à envoyer des pièces jointes PDF légitimes dans le cadre d’une stratégie d’ingénierie sociale visant à instaurer la confiance et à encourager l’interaction sur des plateformes comme Signal, Telegram ou WhatsApp.
Les attaques les plus récentes ont débuté le 22 juillet 2024, l'auteur de la menace ayant contacté plusieurs adresses e-mail associées à une personnalité juive anonyme. Il s'est fait passer pour le directeur de recherche de l'Institute for the Study of War (ISW) et a invité la cible à participer en tant qu'invité à un podcast.
En réponse à la demande de renseignements de la cible, TA453 aurait envoyé une URL DocSend protégée par un mot de passe, qui a conduit à un fichier texte contenant un lien vers un podcast légitime hébergé par ISW. Les courriels frauduleux ont été envoyés à partir du domaine understandthewar.org, une tentative d'imitation du véritable site Web d'ISW (understandingwar.org).
Les chercheurs pensent que la stratégie de TA453 consistait à habituer la cible à cliquer sur des liens et à saisir des mots de passe, ce qui la rendait plus susceptible de tomber dans le piège des futures diffusions de logiciels malveillants. Dans les messages suivants, l'acteur malveillant a envoyé une URL Google Drive hébergeant une archive ZIP (« Podcast Plan-2024.zip »), qui contenait un fichier de raccourci Windows (LNK) conçu pour déployer la boîte à outils BlackSmith.
AnvilEcho est une menace puissante en matière de collecte de données
AnvilEcho, fourni via la boîte à outils BlackSmith, est considéré comme un successeur probable des implants PowerShell précédents tels que CharmPower, GorjolEcho, POWERSTAR et PowerLess. BlackSmith est également conçu pour présenter un document leurre comme une diversion.
Il convient de noter que le nom « BlackSmith » a déjà été associé à un composant de vol de navigateur identifié par des experts en sécurité informatique plus tôt cette année. Ce composant était lié à une campagne diffusant BASICSTAR, ciblant des personnalités de premier plan impliquées dans les affaires du Moyen-Orient.
AnvilEcho est un cheval de Troie PowerShell sophistiqué doté de nombreuses fonctionnalités, principalement destiné à la collecte de renseignements et à l'exfiltration de données. Ses principales fonctionnalités incluent la reconnaissance du système, la prise de captures d'écran, le téléchargement de fichiers distants et le téléchargement de données sensibles via FTP et Dropbox.
Les campagnes de phishing de TA453 s'alignent systématiquement sur les priorités du CGRI en matière de renseignement. Le déploiement de ce malware ciblant une personnalité juive de premier plan semble s'inscrire dans le cadre des efforts plus vastes déployés par l'Iran contre les intérêts israéliens. TA453 demeure une menace persistante, ciblant principalement les hommes politiques, les défenseurs des droits de l'homme, les dissidents et les universitaires.
