Malware NokNok Mac

Národní státní aktér kyberzločinu identifikovaný jako APT35 z Íránu byl spojován s vlnou cílených spear-phishingových útoků, které postihly operační systémy Windows i macOS. Cílem těchto útoků je infiltrovat systémy pomocí specializovaných malwarových nástrojů. Analýza útoků APT35 odhalila, že hackeři zaměstnávali různé poskytovatele cloudového hostingu, aby vytvořili jedinečný infekční řetězec.

Kyberzločinci také použili dvě dříve neznámé malwarové hrozby. Na systémech Windows využíval APT35 nově objevená backdoor PowerShell s názvem GorjolEcho. Případně, pokud bylo zjištěno, že oběti používají zařízení Apple, hackeři přešli na upravený řetězec infekcí, který zahrnoval malwarovou hrozbu Mac sledovanou jako NokNok.

To ukazuje pokusy herce využít zranitelnosti specifické pro macOS.

Skupina APT35 Cybercrime Group pokračuje ve vývoji svých technik spear-phishingu

APT35, také známý jako Charming Kitten, TA453, Mint Sandstorm a Yellow Garuda, je prominentní hrozbou skupina s vazbami na íránské islámské revoluční gardy (IRGC). Tato skupina je aktivní minimálně od roku 2011 a zabývá se různými kybernetickými operacemi zaměřenými na jednotlivce a organizace. Ve svém neúnavném pronásledování špionážních aktivit použil APT35 taktiku známou jako multipersona zosobnění, která spočívá v tom, že aktéři hrozby převezmou více identit, aby oklamali cíle a získali neoprávněný přístup k citlivým informacím.

Tyto sofistikované techniky používané APT35 zdůrazňují jejich pokračující úsilí o provádění cílených kybernetických špionážních operací. Skupina strategicky vybírá vysoce postavené cíle a používá různé taktiky, jako je phishing a využití vlastních nástrojů, aby kompromitovala systémy a získala neoprávněný přístup k citlivým informacím. Bylo pozorováno, že APT35 aktualizoval svou taktiku použitím vylepšené verze implantátu PowerShell známého jako POWERSTAR , také označovaného jako GhostEcho nebo CharmPower.

Ve specifické útočné sekvenci, ke které došlo v polovině května 2023, spustili aktéři hrozeb z APT35 phishingovou kampaň. Jejich cílem byl expert na jadernou bezpečnost spojený s americkým think tankem zaměřeným na zahraniční záležitosti. Útok znamenal zasílání podvodných e-mailů obsahujících škodlivý odkaz maskovaný jako makro Google Script. Po kliknutí odkaz přesměroval cíl na adresu URL Dropbox hostující archiv RAR.

APT35 použil různé útočné řetězce, aby kompromitoval uživatele Apple s malwarem NokNok

Pokud vybraný cíl využívá zařízení Apple, APT35 údajně upravil své metody a provedl sekundární taktiku. To zahrnovalo odeslání druhého e-mailu obsahujícího archiv ZIP, který obsahoval binární soubor Mach-O. Soubor se maskoval jako VPN aplikace, ale ve skutečnosti fungoval jako AppleScript. Po spuštění tento skript naváže spojení se vzdáleným serverem a zahájí stahování backdoor s názvem NokNok.

Zadní vrátka NokNok po instalaci získá až čtyři moduly, které mají různé schopnosti. Tyto moduly umožňují sběr informací, jako jsou běžící procesy, nainstalované aplikace a systémová metadata. Kromě toho usnadňují vytvoření perzistence v napadeném systému pomocí LaunchAgents.

Je pozoruhodné, že funkčnost těchto modulů se nápadně podobá modulům spojeným s POWERSTAR, dříve identifikovaným nástrojem používaným APT35. To naznačuje významné překrývání schopností a účelu těchto dvou kmenů malwaru. Kromě toho NokNok vykazuje podobnosti kódu s malwarem macOS, který byl dříve v roce 2017 připisován stejné skupině kyberzločinců.

Aby dále zlepšili svou taktiku, hackeři také založili podvodnou webovou stránku pro sdílení souborů. Tato webová stránka pravděpodobně slouží jako způsob, jak návštěvníkům otisky prstů, shromažďovat informace o potenciálních obětech a fungovat jako sledovací mechanismus pro sledování úspěšnosti jejich útoků.

Tyto adaptivní techniky používané TA453 demonstrují jejich pokračující úsilí zaměřit se na uživatele Apple a využívat jejich systémy. Zdůrazňuje důležitost dodržování přísných bezpečnostních postupů, jako je pravidelná aktualizace softwaru, používání spolehlivých antivirových řešení a opatrnost při interakci s e-mailovými přílohami nebo stahování souborů z nedůvěryhodných zdrojů. Díky neustálému informování o vyvíjejících se hrozbách a implementaci komplexních bezpečnostních opatření se uživatelé mohou lépe chránit před aktivitami aktérů hrozeb, jako je APT35.