Nep-uitnodigingen voor podcast met nieuwe BlackSmith malware-toolkit

De oplichter stuurde het doelwit via zowel het e-mailadres van de organisatie als via het persoonlijke mailadres een uitnodiging voor het deelnamen aan een ‘podcast’ van ISW. Na reactie van de ontvanger stuurde de hackgroep een DocSend URL wat beveiligd was met een wachtwoord. Uiteindelijk kwam de ontvanger bij een tekstbestand met daarin een link naar de ‘ISW Podcast’, de dekmantel van TA453. Waarschijnlijk probeerde TA453 het doelwit af te leiden door hen een wachtwoord in te laten voeren, zodat het slachtoffer hetzelfde zou doen tijdens het afleveren van de malware. De Spoofing-acties komen overeen met andere TA453-phishingaavallen die de Google Threat Intellingence Group eerder deze maand rapporteerden.

Afbeelding 2. DocSend content met het thema Podcast.

Een ander voorbeeld van de acties van TA453 is dat de cybercriminele groep reageert met een Google Drive URL, die een zogenaamd podcastplan bevat. Het plan bevatte een LNK dat de BlackSmith toolset aflevert die uiteindelijk de AnvilEcho Powershell Trojan van TA453 bezorgd.

Afbeelding 3. Valse podcastuitnodiging met een kwaadaardige URL.

Verschillende staatsdreigingen phishen meerdere e-mailadressen die gekoppeld zijn aan een doelwit. Een voorbeeld hiervan zijn de acties van TA427. Deze groep bewijst zichzelf door het versturen van e-mails vanaf ‘understandingthewar[.]org’ en door het noteren van een Hotmail-account, beheerd door deze hackersgroep, in de e-mailhandtekening.

Malware en social engineering

Uit de analyse van TA453-malware blijkt dat de ontwikkelaars modulaire PowersShell-backdoors gebruiken. Door het verdraaien van infectieketens proberen ze detectiemogelijkheden te beperken en zelfs te vermijden. De toolkit in deze infectieketen is een mogelijke opvolger van GorjolEcho/PowerStar, TAMECURL, MischiefTut en CharmPower.

TA453 gebruikt veel social engineering-technieken voor het overhalen van de doelwitten. Hierbij bouwt de hacker een vertrouwensband op met de gedupeerde, bijvoorbeeld door het sturen van legitieme koppelingen en het verwijzen naar een echte podcast van een gespoofde organisatie. Door het opbouwen van een band met het slachtoffer, vergroot de kans op uitbuiting. TA453 heeft met BlackSmith een geavanceerde toolkit voor het verzamelen van informatie. De malwarefuncties zijn gestroomlijnd en gaan van een individuele reeks afzonderlijke scrips tot een full-service PowerShell-trojan.

Inlichtingen verzamelen

Deze inspanningen dragen mogelijk bij aan het verzamelen van inlichtingen ter ondersteuning van de Iraanse overheid. Hoewel onderzoekers van Proofpoint TA453 niet direct kunnen linken aan individuele leden van de Islamitische Revolutionaire Garde (IRGC), blijft het cybersecuritybedrijf van mening dat TA453 opereert ter ondersteuning van IRGC, specifiek de IRGC Intelligence Organisation (IRGC-IO). Dit is gebaseerd op verschillende bewijzen waaronder een overlap in de nummering van eenheden tussen Charming Kitten-rapporten en eenheden van IRGC zoals PWC identificeerde, de aanklacht van het Amerikaanse Ministerie van Justitie tegen Monica Witt, aan IRGC-gelieerde hackers en een analyse over de doelen van TA453, waarbij IRCG-IO prioriteiten werden gerapporteerd.

De IRGC-IO verzamelt inlichtingen en voert operaties uit ter ondersteuning van verschillende verantwoordelijkheden. De richtlijn leidde eerder tot aanvallen van een reeks diplomatieke en politieke entiteiten – van ambassades in Teheran tot Amerikaanse politieke campagnes.

“Phishing-campagnes van TA453, die Proofpoint heeft verstoord, tonen consequent de prioriteiten van de IRGC”, zegt Joshua Miller, APT Threat Researcher bij Proofpoint. “De inzet van malware die zich richt op een prominent Joods figuur ondersteunt waarschijnlijk de cyberinspanningen van Iran tegen Israëlische belangen. TA453 is een hardnekkige, consistente dreiging tegen politici, mensenrechtenactivisten en academici.”

Proofpoint ziet dat TA453 overeenkomt met Microsoft’s Mint Sandstorm, Mandiant’s APT42 en PWC’s Yellow Garua. Deze kunnen allemaal beschouwd worden als Charming Kitten.