Gefährlicher, neuer Angriff Iranische Hackergruppe setzt neue BlackSmith-Malware ein

Anbieter zum Thema

Proofpoint Germany

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

Die iranische Cybercrime-Gruppe TA453, auch bekannt als Charming Kitten, hat ein neues Malware-Toolset namens BlackSmith entwickelt und zum Einsatz gebracht. Ziel war eine prominente religiöse Persönlichkeit. Dies berichtet das Cyber­sicherheits­unternehmen Proofpoint in einem aktuellen Blog-Beitrag.

Joshua Miller, Senior Threat Researcher bei Proofpoint, fasst die Untersuchungsergebnisse so zusammen: „TA453-Phishing-Kampagnen, die wir beobachtet haben, spiegeln die Prioritäten des Geheimdienstes der Islamischen Revolutionsgarde wider. Dieser Malware-Einsatz, der auf eine prominente jüdische Persönlichkeit abzielt, unterstützt wahrscheinlich die laufenden iranischen Cyberaktivitäten gegen israelische Interessen. TA453 ist eine hartnäckige Bedrohung für Politiker, Menschenrechtler, Dissidenten und Akademiker.“

TA453 kontaktierte die Zielperson am 22. Juli dieses Jahres über verschiedene E-Mail-Adressen, sowohl berufliche wie private, und gab sich als Forschungsdirektor des Institute for the Study of War (ISW) aus. In der E-Mail wurde das Opfer eingeladen, Gast in einem Podcast des ISW zu werden. Nach einer Antwort der Zielperson schickte TA453 einen passwortgeschützten DocSend-Link, der zu einer Textdatei mit einem Link zum legitimen ISW-Podcast führte. Laut den Experten von Proofpoint wollte TA453 damit wahrscheinlich einen Gewöhnungseffekt hervorrufen. Ziel war es, dass das potenzielle Opfer auch in Zukunft auf Links klickt und Passwörter eingibt, sobald im späteren Verlauf Malware versandt würde.

In einer Folge-E-Mail schickte TA453 dann einen GoogleDrive-Link zu einem ZIP-Archiv, welches eine LNK-Datei mit dem BlackSmith-Toolset und dem AnvilEcho-PowerShell-Trojaner enthielt. Die LNK-Datei versteckt sich hinter einer Köder-PDF und extrahiert den Inhalt des ZIP-Ordners.

Die Malware-Analyse von Proofpoint zeigt, dass TA453 versucht, Erkennungsmaßnahmen zu umgehen, indem die Infektionskette verkompliziert wird. Anstatt wie bisher separate PowerShell-Module einzusetzen, bündelt BlackSmith nun das gesamte Framework in einem einzigen großen PowerShell-Skript namens AnvilEcho. Dieses enthält umfangreiche Funktionen zur Aufklärung und Exfiltration, die über die Fähigkeiten früherer TA453-Malware hinausgehen. Dazu gehören Netzwerkkonnektivität, Dateisuche, Screenshots, Audioaufnahmen, Browser-Datendiebstahl, Downloads und Uploads.

AnvilEcho verwendet zur Kontrolle (C2) die Domain deepspaceocean[.]info und kommuniziert über verschlüsselte Kanäle. Die Malware führt auch eine Systemanalyse durch, um Informationen über Antiviren-Software, Betriebssystem, IP-Adresse, Installationspfade, Hersteller, Computernamen und Benutzernamen zu sammeln. Diese Informationen werden dann verschlüsselt und an die von TA453 kontrollierte Infrastruktur gesendet.

Obwohl die Analysten von Proofpoint TA453 nicht direkt mit einzelnen Mitgliedern der Islamischen Revolutionsgarden (IRGC) in Verbindung bringen können, gehen sie davon aus, dass TA453 im Auftrag der IRGC operiert, genauer gesagt deren Geheimdienstabteilung (IRGC-IO). Die Aktivitäten der Gruppe dienen dem Sammeln relevanter Informationen und fördern so wahrscheinlich die Interessen der iranischen Regierung. Diese Einschätzung basiert auf einer Vielzahl von Belegen. Dazu zählen Überschneidungen in der Nummerierung von Einheiten zwischen den Berichten von Charming Kitten und den von PWC identifizierten IRGC-Einheiten, die Anklage des US-Justizministeriums gegen Monica Witt und mit dem IRGC verbundene Akteure sowie die Analyse der Ziele von TA453 im Vergleich zu den bekannten Prioritäten der IRGC-IO. Diese Einheit sammelt nachrichtendienstliche Informationen und führt Operationen zur Unterstützung einer Vielzahl von Aufgaben durch.

TA453 verwendet viele verschiedene Social-Engineering-Techniken, um Ziele dazu zu bringen, sich mit schädlichen Inhalten zu beschäftigen. Wie bei der Imitation verschiedener Identitäten kann das Senden legitimer Links an ein Ziel und der Verweis auf einen echten Podcast der gefälschten Organisation dazu führen, dass das potenzielle Opfer Vertrauen in die vermeintlich legitime Konversation fasst. Wenn die Täter im Laufe der Zeit eine Beziehung zu einer Zielperson aufbauen, bevor sie eine gefährliche Payload schicken, erhöht das die Wahrscheinlichkeit für einen erfolgreichen Angriff.

Mit BlackSmith hat TA453 ein ausgeklügeltes Toolkit zum Sammeln von Informationen entwickelt und seine Malware-Funktionen von einer Reihe einzelner Skripte zu einem vollwertigen PowerShell-Trojaner optimiert. Ein wichtiger Beleg dafür, wie sich Cyberkriminelle stetig weiterentwickeln und ihre Taktiken, Techniken und Verfahren (TTPs) anpassen.

(ID:50148789)