NokNok Mac злонамерен софтуер

Актьорът в киберпрестъпността от националната държава, идентифициран като APT35 от Иран, е свързан с вълна от целенасочени фишинг атаки, засягащи както операционните системи Windows, така и macOS. Тези атаки имат за цел да проникнат в системи със специализирани инструменти за зловреден софтуер. Анализът на атаките APT35 разкри, че хакерите са използвали различни облачни хостинг доставчици, за да създадат уникална верига за заразяване.

Киберпрестъпниците са използвали и две неизвестни досега заплахи за зловреден софтуер. В Windows системи APT35 използва новооткрита задна врата на PowerShell, наречена GorjolEcho. Като алтернатива, ако се установи, че жертвите използват устройство на Apple, хакерите преминават към модифицирана верига за заразяване, която включва заплаха от злонамерен софтуер за Mac, проследена като NokNok.

Това показва опитите на актьора да използва уязвимости, специфични за macOS.

Групата за киберпрестъпления APT35 продължава да развива своите техники за фишинг

APT35, известен също като Очарователно коте, TA453, Менета пясъчна буря и Жълта Гаруда, е видна заплашителна група с връзки с Ислямския революционен гвардеен корпус на Иран (IRGC). Тази група е активна най-малко от 2011 г., участвайки в различни кибер операции, насочени към лица и организации. В безмилостното си преследване на шпионски дейности, APT35 използва тактика, известна като имитиране на няколко лица, която включва участниците в заплахата, приемащи множество самоличности, за да заблудят цели и да получат неоторизиран достъп до чувствителна информация.

Тези сложни техники, използвани от APT35, подчертават техните текущи усилия за извършване на целенасочени операции за кибершпионаж. Групата стратегически избира високопоставени цели и използва различни тактики, като фишинг и използване на специално създадени инструменти, за компрометиране на системи и получаване на неоторизиран достъп до чувствителна информация. Наблюдавано е, че APT35 е актуализирал своята тактика чрез използване на подобрена версия на имплант PowerShell, известен като POWERSTAR , наричан още GhostEcho или CharmPower.

В конкретна последователност от атаки, извършена в средата на май 2023 г., участниците в заплахата от APT35 стартираха фишинг кампания. Тяхната цел беше експерт по ядрена сигурност, свързан с базиран в САЩ мозъчен тръст, фокусиран върху външните работи. Атаката включва изпращане на измамни имейли, съдържащи злонамерена връзка, маскирана като макрос на Google Script. След щракване връзката пренасочва целта към URL адрес на Dropbox, хостващ RAR архив.

APT35 използва различни вериги за атаки, за да компрометира потребителите на Apple със зловреден софтуер NokNok

Ако избраната цел използва устройство на Apple, според съобщенията APT35 е коригирал методите си и е изпълнил вторична тактика. Това включваше изпращане на втори имейл, съдържащ ZIP архив, който включваше двоичен файл Mach-O. Файлът се маскира като VPN приложение, но в действителност функционира като AppleScript. Когато се изпълни, този скрипт установява връзка с отдалечен сървър, за да започне изтеглянето на задна врата, наречена NokNok.

Задната вратичка на NokNok, при инсталиране, извлича до четири модула, които притежават различни възможности. Тези модули позволяват събирането на информация като работещи процеси, инсталирани приложения и системни метаданни. Освен това те улесняват установяването на постоянство в компрометираната система чрез използване на LaunchAgents.

Трябва да се отбележи, че функционалността на тези модули има поразителна прилика с модулите, свързани с POWERSTAR, идентифициран преди това инструмент, използван от APT35. Това показва значително припокриване на възможностите и предназначението на двата вида зловреден софтуер. Освен това NokNok проявява прилики в кода със зловреден софтуер на macOS, който преди това беше приписван на същата група за киберпрестъпления през 2017 г.

За да подобрят още повече своята тактика, хакерите създадоха и измамен уебсайт за споделяне на файлове. Този уебсайт вероятно служи като начин за снемане на пръстови отпечатъци на посетители, събиране на информация за потенциални жертви и действа като механизъм за проследяване за наблюдение на успеха на техните атаки.

Тези адаптивни техники, използвани от TA453, демонстрират техните постоянни усилия за насочване към потребителите на Apple и експлоатиране на техните системи. Той подчертава важността на поддържането на силни практики за сигурност, като редовно актуализиране на софтуера, използване на надеждни антивирусни решения и проявяване на повишено внимание при взаимодействие с прикачени файлове към имейл или изтегляне на файлове от ненадеждни източници. Като са информирани за развиващите се заплахи и прилагат цялостни мерки за сигурност, потребителите могат по-добре да се защитят срещу дейностите на заплахи като APT35.