NokNok Mac البرامج الضارة

ارتبط ممثل الجريمة السيبرانية التابع للدولة الذي تم تحديده باسم APT35 من إيران بموجة من هجمات التصيد الاحتيالي المستهدفة التي تؤثر على أنظمة تشغيل Windows و macOS. تهدف هذه الهجمات إلى اختراق الأنظمة بأدوات البرمجيات الخبيثة المتخصصة. كشف تحليل هجمات APT35 أن المتسللين وظفوا مزودي خدمة استضافة سحابية مختلفة لإنشاء سلسلة إصابة فريدة.

استخدم المجرمون الإلكترونيون أيضًا تهديدين للبرامج الضارة غير معروفين سابقًا. في أنظمة Windows ، استخدم APT35 بابًا خلفيًا PowerShell تم اكتشافه حديثًا باسم GorjolEcho. بدلاً من ذلك ، إذا تم اكتشاف أن الضحايا يستخدمون جهاز Apple ، فإن المتسللين يتحولون إلى سلسلة عدوى معدلة تتضمن تهديدًا لبرامج ضارة لنظام Mac تم تعقبه على أنه NokNok.

يوضح هذا محاولات الفاعل لاستغلال الثغرات الأمنية الخاصة بـ macOS.

تواصل مجموعة APT35 للجرائم الإلكترونية تطوير تقنيات التصيد بالرمح

APT35 ، المعروفة أيضًا باسم Charming Kitten و TA453 و Mint Sandstorm و Yellow Garuda ، هي مجموعة تهديد بارزة لها علاقات مع الحرس الثوري الإسلامي الإيراني (IRGC). كانت هذه المجموعة نشطة منذ عام 2011 على الأقل ، حيث شاركت في العديد من العمليات السيبرانية التي تستهدف الأفراد والمؤسسات. في سعيها الدؤوب لأنشطة التجسس ، استخدمت APT35 تكتيكًا يُعرف باسم انتحال الشخصية المتعددة الأشخاص ، والذي ينطوي على قيام الجهات الفاعلة بالتهديد بافتراض هويات متعددة لخداع الأهداف والحصول على وصول غير مصرح به إلى المعلومات الحساسة.

تسلط هذه التقنيات المتطورة التي استخدمتها APT35 الضوء على جهودهم المستمرة لتنفيذ عمليات تجسس إلكتروني مستهدفة. تختار المجموعة بشكل استراتيجي أهدافًا بارزة وتستخدم تكتيكات مختلفة ، مثل التصيد الاحتيالي واستخدام الأدوات المصممة خصيصًا ، لتسوية الأنظمة والحصول على وصول غير مصرح به إلى المعلومات الحساسة. لوحظ أن APT35 قد قامت بتحديث تكتيكاتها من خلال استخدام نسخة محسنة من غرسة PowerShell المعروفة باسم POWERSTAR ، والتي يشار إليها أيضًا باسم GhostEcho أو CharmPower.

في تسلسل هجوم محدد وقع في منتصف مايو 2023 ، أطلق ممثلو التهديد من APT35 حملة تصيد احتيالي. كان هدفهم خبير أمن نووي مرتبط بمركز أبحاث مقره الولايات المتحدة يركز على الشؤون الخارجية. استلزم الهجوم إرسال رسائل بريد إلكتروني خادعة تحتوي على رابط ضار متخفي في صورة ماكرو Google Script. بمجرد النقر عليه ، أعاد الرابط توجيه الهدف إلى عنوان URL لـ Dropbox يستضيف أرشيف RAR.

استخدم APT35 سلاسل هجوم مختلفة لاختراق مستخدمي Apple ببرمجيات NokNok الضارة

إذا كان الهدف المختار يستخدم جهاز Apple ، فقد ورد أن APT35 عدل أساليبه ونفذ تكتيكًا ثانويًا. تضمن ذلك إرسال رسالة بريد إلكتروني ثانية تحتوي على أرشيف مضغوط يتضمن ملف Mach-O ثنائي. يتنكر الملف على أنه تطبيق VPN ، لكنه في الواقع يعمل كبرنامج AppleScript. عند تنفيذه ، ينشئ هذا البرنامج النصي اتصالاً بخادم بعيد لبدء تنزيل باب خلفي يسمى NokNok.

يسترد الباب الخلفي NokNok ، عند التثبيت ، ما يصل إلى أربع وحدات تمتلك إمكانيات مختلفة. تتيح هذه الوحدات النمطية تجميع المعلومات مثل العمليات الجارية والتطبيقات المثبتة وبيانات تعريف النظام. بالإضافة إلى ذلك ، فهي تسهل إنشاء الثبات داخل النظام المخترق من خلال استخدام وكلاء LaunchAgents.

والجدير بالذكر أن وظائف هذه الوحدات تشبه بشكل مذهل الوحدات المرتبطة بـ POWERSTAR ، وهي أداة تم تحديدها مسبقًا تستخدمها APT. يشير هذا إلى وجود تداخل كبير في القدرات والغرض من سلالتي البرامج الضارة. علاوة على ذلك ، تُظهر NokNok أوجه تشابه في التعليمات البرمجية مع برامج macOS الضارة التي نُسبت سابقًا إلى نفس مجموعة الجرائم الإلكترونية في عام 2017.

لتعزيز تكتيكاتهم بشكل أكبر ، أنشأ المتسللون أيضًا موقعًا احتياليًا لمشاركة الملفات. من المحتمل أن يكون موقع الويب هذا بمثابة وسيلة لبصمات الزائرين ، وجمع المعلومات حول الضحايا المحتملين ، والعمل كآلية تتبع لمراقبة نجاح هجماتهم.

توضح هذه التقنيات التكيفية التي استخدمها TA453 جهودهم المستمرة لاستهداف مستخدمي Apple واستغلال أنظمتهم. إنه يؤكد على أهمية الحفاظ على ممارسات أمنية قوية ، مثل تحديث البرامج بانتظام ، واستخدام حلول موثوقة لمكافحة الفيروسات ، وتوخي الحذر عند التفاعل مع مرفقات البريد الإلكتروني أو تنزيل الملفات من مصادر غير موثوق بها. من خلال البقاء على اطلاع حول التهديدات المتطورة وتنفيذ تدابير أمنية شاملة ، يمكن للمستخدمين حماية أنفسهم بشكل أفضل ضد أنشطة الجهات الفاعلة في التهديد مثل APT35.