Исследователи из Proofpoint обнаружили новую кампанию кибершпионажа, организованную иранским злоумышленником TA453, направленную на видного еврейского религиозного деятеля с помощью поддельного приглашения на интервью в подкасте.
TA453 APT
TA453 использовали несколько учетных записей электронной почты жертвы, включая адрес электронной почты организации и личный адрес электронной почты, в попытках развернуть новый набор инструментов для вредоносного ПО под названием BlackSmith, который загружает троянца Powershell группы, получившего название AnvilEcho.
AnvilEcho объединяет предыдущие возможности вредоносного ПО TA453 в единый скрипт, что повышает его потенциал по сбору оперативной информации. Троян обладает рядом функций, некоторые из которых представляют собой усовершенствованные модели вредоносных программ, ранее использовавшиеся TA453. В частности, AnvilEcho содержит функции Redo-It и Do-It для проведения рекогносцировки и утечки информации в инфраструктуру, контролируемую TA452.
По данным Proofpoint, TA453 был замечен в атаках на ряд дипломатических и политических организаций, включая посольства в Тегеране и политические кампании США. Хотя Proofpoint не может связать TA453 с отдельными членами Корпуса стражей исламской революции (КСИР), они считают, что эта кампания, скорее всего, является частью усилий по сбору разведданных в поддержку КСИР.
Indicators of Compromise
Domains
- d75.site
- deepspaceocean.info
- understandingthewar.org
SHA256
- 258d9d67e14506b70359daabebd41978c7699d6ce75533955736cdd2b8192c1a
- 574fc53ba2e9684938d87fc486392568f8db0b92fb15028e441ffe26c920b4c5
- 5aee738121093866404827e1db43c8e1a7882291afedfe90314ec90b198afb36
- 5dca88f08b586a51677ff6d900234a1568f4474bbbfef258d59d73ca4532dcaf
- 8a47fd166059e7e3c0c1740ea8997205f9e12fc87b1ffe064d0ed4b0bf7c2ce1
- d033db88065bd4f548ed13287021ac899d8c3215ebc46fdd33f46a671bba731c
- dc5c963f1428db051ff7aa4d43967a4087f9540a9d331dea616ca5013c6d67ce
- dcb072061defd12f12deb659c66f40473a76d51c911040b8109ba32bb36504e3