Programari maliciós NokNok Mac

L'actor de ciberdelinqüència de l'estat nació identificat com a APT35 de l'Iran s'ha associat amb una onada d'atacs específics de pesca llança que afecten els sistemes operatius Windows i macOS. Aquests atacs tenen com a objectiu infiltrar-se en sistemes amb eines especialitzades de programari maliciós. L'anàlisi dels atacs APT35 va revelar que els pirates informàtics van emprar diversos proveïdors d'allotjament en núvol per establir una cadena d'infecció única.

Els ciberdelinqüents també van emprar dues amenaces de programari maliciós fins ara desconegudes. Als sistemes Windows, APT35 va utilitzar una porta posterior de PowerShell recentment descoberta anomenada GorjolEcho. Alternativament, si es va trobar que les víctimes utilitzaven un dispositiu Apple, els pirates informàtics van canviar a una cadena d'infecció modificada que implicava una amenaça de programari maliciós per a Mac rastrejada com a NokNok.

Això mostra els intents de l'actor d'explotar vulnerabilitats específiques de macOS.

El grup de cibercrim APT35 continua evolucionant les seves tècniques de pesca amb llança

APT35, també conegut com Charming Kitten, TA453, Mint Sandstorm i Yellow Garuda, és un grup d'amenaça destacat amb vincles amb el Cos de la Guàrdia Revolucionària Islàmica (IRGC) de l'Iran. Aquest grup ha estat actiu almenys des del 2011, participant en diverses operacions cibernètiques dirigides a persones i organitzacions. En la seva recerca incansable d'activitats d'espionatge, APT35 va utilitzar una tàctica coneguda com a suplantació de persones múltiples, que implica que els actors de l'amenaça assumeixen múltiples identitats per enganyar els objectius i obtenir accés no autoritzat a informació sensible.

Aquestes tècniques sofisticades emprades per APT35 destaquen els seus esforços continus per dur a terme operacions d'espionatge cibernètic dirigides. El grup selecciona estratègicament objectius d'alt perfil i utilitza diverses tàctiques, com ara el phishing i l'ús d'eines personalitzades, per comprometre els sistemes i obtenir accés no autoritzat a informació sensible. S'ha observat que APT35 ha actualitzat les seves tàctiques utilitzant una versió millorada d'un implant PowerShell conegut com POWERSTAR , també conegut com a GhostEcho o CharmPower.

En una seqüència d'atac específica que es va produir a mitjans de maig de 2023, els actors de l'amenaça d'APT35 van llançar una campanya de pesca. El seu objectiu era un expert en seguretat nuclear associat a un grup de reflexió amb seu als Estats Units centrat en els afers exteriors. L'atac va implicar l'enviament de correus electrònics enganyosos que contenien un enllaç maliciós disfressat com una macro de Google Script. Un cop fet clic, l'enllaç redirigeix l'objectiu a un URL de Dropbox que allotja un arxiu RAR.

L'APT35 va utilitzar diferents cadenes d'atac per comprometre els usuaris d'Apple amb el programari maliciós NokNok

Si l'objectiu escollit utilitza un dispositiu Apple, segons informa APT35 va ajustar els seus mètodes i va executar una tàctica secundària. Això implicava enviar un segon correu electrònic que contenia un arxiu ZIP que incorporava un fitxer binari Mach-O. El fitxer es va disfressar com una aplicació VPN, però en realitat funcionava com un AppleScript. Quan s'executa, aquest script estableix una connexió amb un servidor remot per iniciar la descàrrega d'una porta posterior anomenada NokNok.

La porta del darrere de NokNok, després de la instal·lació, recupera fins a quatre mòduls que tenen diverses capacitats. Aquests mòduls permeten recopilar informació com ara processos en execució, aplicacions instal·lades i metadades del sistema. A més, faciliten l'establiment de la persistència dins del sistema compromès mitjançant l'ús de LaunchAgents.

En particular, la funcionalitat d'aquests mòduls té una semblança sorprenent amb els mòduls associats a POWERSTAR, una eina prèviament identificada utilitzada per APT35. Això indica una superposició significativa en les capacitats i el propòsit de les dues varietats de programari maliciós. A més, NokNok mostra similituds de codi amb el programari maliciós de macOS que es va atribuir anteriorment al mateix grup de ciberdelinqüència el 2017.

Per millorar encara més les seves tàctiques, els pirates informàtics també van establir un lloc web fraudulent per compartir fitxers. És probable que aquest lloc web serveixi com una manera de detectar les empremtes digitals dels visitants, recopilar informació sobre víctimes potencials i actuar com a mecanisme de seguiment per controlar l'èxit dels seus atacs.

Aquestes tècniques adaptatives emprades per TA453 demostren els seus esforços continus per orientar els usuaris d'Apple i explotar els seus sistemes. Subratlla la importància de mantenir pràctiques de seguretat sòlides, com ara actualitzar regularment el programari, emprar solucions antivirus fiables i tenir precaució quan interactueu amb fitxers adjunts de correu electrònic o baixeu fitxers de fonts no fiables. Si es mantenen informats sobre l'evolució de les amenaces i implementen mesures de seguretat integrals, els usuaris es poden protegir millor contra les activitats d'actors d'amenaces com APT35.