NokNok Mac Malware

Ο παράγοντας του εγκλήματος στον κυβερνοχώρο έθνους-κράτους που προσδιορίζεται ως APT35 από το Ιράν έχει συσχετιστεί με ένα κύμα στοχευμένων επιθέσεων spear-phishing που επηρεάζουν τόσο τα λειτουργικά συστήματα Windows όσο και macOS. Αυτές οι επιθέσεις στοχεύουν να διεισδύσουν σε συστήματα με εξειδικευμένα εργαλεία κακόβουλου λογισμικού. Η ανάλυση των επιθέσεων APT35 αποκάλυψε ότι οι χάκερ χρησιμοποίησαν διάφορους παρόχους φιλοξενίας cloud για να δημιουργήσουν μια μοναδική αλυσίδα μόλυνσης.

Οι κυβερνοεγκληματίες χρησιμοποίησαν επίσης δύο άγνωστες προηγουμένως απειλές κακόβουλου λογισμικού. Σε συστήματα Windows, το APT35 χρησιμοποίησε μια νέα κερκόπορτα PowerShell που ανακαλύφθηκε με το όνομα GorjolEcho. Εναλλακτικά, εάν διαπιστωθεί ότι τα θύματα χρησιμοποιούσαν μια συσκευή Apple, οι χάκερ στράφηκαν σε μια τροποποιημένη αλυσίδα μόλυνσης που περιλάμβανε μια απειλή κακόβουλου λογισμικού Mac που παρακολουθείται ως NokNok.

Αυτό δείχνει τις προσπάθειες του ηθοποιού να εκμεταλλευτεί ευπάθειες ειδικά για το macOS.

Η Ομάδα Κυβερνοεγκλήματος APT35 συνεχίζει να εξελίσσει τις τεχνικές της Spear-phishing

Το APT35, γνωστό και ως Charming Kitten, TA453, Mint Sandstorm και Yellow Garuda, είναι μια εξέχουσα ομάδα απειλών με δεσμούς με το Σώμα Φρουρών της Ισλαμικής Επανάστασης του Ιράν (IRGC). Αυτή η ομάδα δραστηριοποιείται τουλάχιστον από το 2011, συμμετέχοντας σε διάφορες κυβερνοεπιχειρήσεις που στοχεύουν άτομα και οργανισμούς. Στην αδιάκοπη επιδίωξή τους για κατασκοπευτικές δραστηριότητες, το APT35 χρησιμοποίησε μια τακτική γνωστή ως πλαστοπροσωπία πολλαπλών προσώπων, η οποία περιλαμβάνει τους παράγοντες της απειλής να αναλαμβάνουν πολλαπλές ταυτότητες για να εξαπατήσουν στόχους και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.

Αυτές οι εξελιγμένες τεχνικές που χρησιμοποιούνται από την APT35 υπογραμμίζουν τις συνεχείς προσπάθειές τους για τη διεξαγωγή στοχευμένων επιχειρήσεων κυβερνοκατασκοπείας. Η ομάδα επιλέγει στρατηγικά στόχους υψηλού προφίλ και χρησιμοποιεί διάφορες τακτικές, όπως phishing και χρήση προσαρμοσμένων εργαλείων, για να παραβιάσει συστήματα και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες. Έχει παρατηρηθεί ότι το APT35 έχει ενημερώσει τις τακτικές του χρησιμοποιώντας μια βελτιωμένη έκδοση ενός εμφυτεύματος PowerShell γνωστό ως POWERSTAR , που αναφέρεται επίσης ως GhostEcho ή CharmPower.

Σε μια συγκεκριμένη ακολουθία επιθέσεων που έλαβε χώρα στα μέσα Μαΐου 2023, οι φορείς απειλών από το APT35 ξεκίνησαν μια εκστρατεία phishing. Στόχος τους ήταν ένας εμπειρογνώμονας πυρηνικής ασφάλειας που σχετίζεται με μια δεξαμενή σκέψης με έδρα τις ΗΠΑ που επικεντρώνεται στις εξωτερικές υποθέσεις. Η επίθεση συνεπαγόταν την αποστολή παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιείχαν έναν κακόβουλο σύνδεσμο μεταμφιεσμένο ως μακροεντολή Google Script. Μόλις γίνει κλικ, ο σύνδεσμος ανακατεύθυνε τον στόχο σε μια διεύθυνση URL του Dropbox που φιλοξενεί ένα αρχείο RAR.

Το APT35 χρησιμοποίησε διαφορετικές αλυσίδες επίθεσης για να βάλει σε κίνδυνο τους χρήστες της Apple με το κακόβουλο λογισμικό NokNok

Εάν ο επιλεγμένος στόχος χρησιμοποιεί μια συσκευή Apple, το APT35 φέρεται να προσάρμοσε τις μεθόδους του και εκτέλεσε μια δευτερεύουσα τακτική. Αυτό περιλάμβανε την αποστολή ενός δεύτερου email που περιείχε ένα αρχείο ZIP που ενσωμάτωνε ένα δυαδικό αρχείο Mach-O. Το αρχείο μεταμφιέστηκε σε εφαρμογή VPN, αλλά στην πραγματικότητα, λειτουργούσε ως AppleScript. Όταν εκτελείται, αυτό το σενάριο δημιουργεί μια σύνδεση με έναν απομακρυσμένο διακομιστή για να ξεκινήσει η λήψη μιας κερκόπορτας που ονομάζεται NokNok.

Η κερκόπορτα NokNok, κατά την εγκατάσταση, ανακτά έως και τέσσερις μονάδες που διαθέτουν διάφορες δυνατότητες. Αυτές οι λειτουργικές μονάδες επιτρέπουν τη συλλογή πληροφοριών όπως εκτελούμενες διαδικασίες, εγκατεστημένες εφαρμογές και μεταδεδομένα συστήματος. Επιπλέον, διευκολύνουν την εγκαθίδρυση της επιμονής εντός του παραβιασμένου συστήματος χρησιμοποιώντας το LaunchAgents.

Σημειωτέον, η λειτουργικότητα αυτών των μονάδων έχει μια εντυπωσιακή ομοιότητα με τα modules που σχετίζονται με το POWERSTAR, ένα προηγουμένως αναγνωρισμένο εργαλείο που χρησιμοποιούσε το APT35. Αυτό υποδηλώνει σημαντική επικάλυψη στις δυνατότητες και τον σκοπό των δύο στελεχών κακόβουλου λογισμικού. Επιπλέον, το NokNok εμφανίζει ομοιότητες κώδικα με κακόβουλο λογισμικό macOS που προηγουμένως είχε αποδοθεί στην ίδια ομάδα εγκλήματος στον κυβερνοχώρο το 2017.

Για να βελτιώσουν περαιτέρω τις τακτικές τους, οι χάκερ δημιούργησαν επίσης έναν δόλιο ιστότοπο κοινής χρήσης αρχείων. Αυτός ο ιστότοπος πιθανότατα χρησιμεύει ως ένας τρόπος για να αποτυπωθούν οι επισκέπτες, να συλλέγουν πληροφορίες για πιθανά θύματα και να λειτουργούν ως μηχανισμός παρακολούθησης για την παρακολούθηση της επιτυχίας των επιθέσεων τους.

Αυτές οι προσαρμοστικές τεχνικές που χρησιμοποιούνται από το TA453 καταδεικνύουν τις συνεχείς προσπάθειές τους να στοχεύσουν τους χρήστες της Apple και να εκμεταλλευτούν τα συστήματά τους. Υπογραμμίζει τη σημασία της διατήρησης ισχυρών πρακτικών ασφαλείας, όπως η τακτική ενημέρωση λογισμικού, η χρήση αξιόπιστων λύσεων προστασίας από ιούς και η προσοχή κατά την αλληλεπίδραση με συνημμένα email ή τη λήψη αρχείων από μη αξιόπιστες πηγές. Παραμένοντας ενημερωμένοι για τις εξελισσόμενες απειλές και εφαρμόζοντας ολοκληρωμένα μέτρα ασφαλείας, οι χρήστες μπορούν να προστατεύονται καλύτερα από τις δραστηριότητες παραγόντων απειλών όπως το APT35.