NokNok Mac Malware

Den nationalstatslige cyberkriminalitetsaktør identificeret som APT35 fra Iran er blevet forbundet med en bølge af målrettede spear-phishing-angreb, der påvirker både Windows- og macOS-operativsystemer. Disse angreb har til formål at infiltrere systemer med specialiserede malware-værktøjer. Analyse af APT35- angrebene afslørede, at hackerne brugte forskellige cloud-hosting-udbydere til at etablere en unik infektionskæde.

De cyberkriminelle brugte også to hidtil ukendte malware-trusler. På Windows-systemer brugte APT35 en nyligt opdaget PowerShell-bagdør ved navn GorjolEcho. Alternativt, hvis ofrene blev fundet at bruge en Apple-enhed, skiftede hackerne til en modificeret infektionskæde, der involverede en Mac-malwaretrussel sporet som NokNok.

Dette viser skuespillerens forsøg på at udnytte sårbarheder, der er specifikke for macOS.

APT35 Cybercrime Group fortsætter med at udvikle sine Spear-Phishing-teknikker

APT35, også kendt som Charming Kitten, TA453, Mint Sandstorm og Yellow Garuda, er en fremtrædende trusselgruppe med bånd til Irans Islamiske Revolutionsgarde (IRGC). Denne gruppe har været aktiv siden mindst 2011 og engageret sig i forskellige cyberoperationer rettet mod enkeltpersoner og organisationer. I deres utrættelige jagt på spionageaktiviteter brugte APT35 en taktik kendt som multi-persona-efterligning, som involverer trusselsaktører, der antager flere identiteter for at bedrage mål og få uautoriseret adgang til følsomme oplysninger.

Disse sofistikerede teknikker anvendt af APT35 fremhæver deres igangværende bestræbelser på at udføre målrettede cyberspionageoperationer. Gruppen udvælger strategisk højt profilerede mål og anvender forskellige taktikker, såsom phishing og brugen af specialbyggede værktøjer, for at kompromittere systemer og få uautoriseret adgang til følsomme oplysninger. APT35 er blevet observeret at have opdateret sin taktik ved at bruge en forbedret version af et PowerShell-implantat kendt som POWERSTAR , også kaldet GhostEcho eller CharmPower.

I en specifik angrebssekvens, der fandt sted i midten af maj 2023, lancerede trusselsaktørerne fra APT35 en phishing-kampagne. Deres mål var en nuklear sikkerhedsekspert tilknyttet en USA-baseret tænketank med fokus på udenrigsanliggender. Angrebet indebar afsendelse af vildledende e-mails indeholdende et ondsindet link forklædt som en Google Script-makro. Når der blev klikket på det, omdirigerede linket målet til en Dropbox-URL, der hostede et RAR-arkiv.

APT35 brugte forskellige angrebskæder for at kompromittere Apple-brugere med NokNok Malware

Hvis det valgte mål bruger en Apple-enhed, har APT35 angiveligt justeret sine metoder og udført en sekundær taktik. Dette indebar at sende en anden e-mail indeholdende et ZIP-arkiv, der inkorporerede en Mach-O binær fil. Filen forklædte sig som en VPN-applikation, men i virkeligheden fungerede den som et AppleScript. Når det udføres, etablerer dette script en forbindelse med en fjernserver for at starte download af en bagdør kaldet NokNok.

NokNok-bagdøren henter efter installation op til fire moduler, der besidder forskellige muligheder. Disse moduler muliggør indsamling af information såsom kørende processer, installerede applikationer og systemmetadata. Derudover letter de etableringen af persistens i det kompromitterede system ved at bruge LaunchAgents.

Navnlig har funktionaliteten af disse moduler en slående lighed med de moduler, der er forbundet med POWERSTAR, et tidligere identificeret værktøj anvendt af APT35. Dette indikerer et betydeligt overlap i mulighederne og formålet med de to malware-stammer. Ydermere udviser NokNok kodeligheder med macOS-malware, der tidligere blev tilskrevet den samme cyberkriminalitetsgruppe i 2017.

For yderligere at forbedre deres taktik etablerede hackerne også et svigagtigt fildelingswebsted. Denne hjemmeside fungerer sandsynligvis som en måde at fingeraftryk besøgende på, indsamle oplysninger om potentielle ofre og fungere som en sporingsmekanisme til at overvåge succesen af deres angreb.

Disse adaptive teknikker, der anvendes af TA453, demonstrerer deres igangværende bestræbelser på at målrette mod Apple-brugere og udnytte deres systemer. Det understreger vigtigheden af at opretholde stærk sikkerhedspraksis, såsom regelmæssig opdatering af software, anvendelse af pålidelige antivirusløsninger og udviser forsigtighed, når du interagerer med vedhæftede filer i e-mails eller downloader filer fra upålidelige kilder. Ved at holde sig informeret om nye trusler og implementere omfattende sikkerhedsforanstaltninger kan brugerne bedre beskytte sig mod trusselsaktørers aktiviteter som APT35.