NokNok Maci pahavara

Iraanist pärit rahvusriigi küberkuritegevuse osalist APT35 on seostatud sihitud andmepüügirünnakute lainega, mis mõjutab nii Windowsi kui ka macOS-i operatsioonisüsteeme. Nende rünnakute eesmärk on tungida süsteemidesse spetsiaalsete pahavaratööriistadega. APT35 rünnakute analüüs näitas, et häkkerid kasutasid ainulaadse nakkusahela loomiseks erinevaid pilvemajutusteenuse pakkujaid.

Küberkurjategijad kasutasid ka kahte senitundmatut pahavaraohtu. Windowsi süsteemides kasutas APT35 äsja avastatud PowerShelli tagaust nimega GorjolEcho. Teise võimalusena, kui leiti, et ohvrid kasutavad Apple'i seadet, läksid häkkerid ümber modifitseeritud nakkusahelale, mis hõlmas Maci pahavara ohtu, mida jälgiti kui NokNok.

See näitab näitleja katseid kasutada ära macOS-ile omaseid haavatavusi.

Küberkuritegevuse rühmitus APT35 jätkab oma andmepüügitehnikate arendamist

APT35, tuntud ka kui Charming Kitten, TA453, Mint Sandstorm ja Yellow Garuda, on silmapaistev ohurühmitus, millel on sidemed Iraani Islami revolutsioonilise kaardiväe korpusega (IRGC). See grupp on tegutsenud vähemalt 2011. aastast, tegeledes erinevate küberoperatsioonidega, mis on suunatud üksikisikutele ja organisatsioonidele. Oma järeleandmatul spionaažitegevusel kasutas APT35 taktikat, mida tuntakse mitme isikuna esinemise nime all, mis hõlmab sihtmärkide petmiseks ja tundlikule teabele volitamata juurdepääsu saamiseks mitme isiku identiteedi omandamist.

Need APT35 kasutatavad keerukad tehnikad rõhutavad nende jätkuvaid jõupingutusi sihipäraste küberspionaažioperatsioonide läbiviimisel. Grupp valib strateegiliselt kõrgetasemelised sihtmärgid ja kasutab erinevaid taktikaid, nagu andmepüük ja kohandatud tööriistade kasutamine, et ohustada süsteeme ja saada volitamata juurdepääs tundlikule teabele. On täheldatud, et APT35 on oma taktikat värskendanud, kasutades PowerShelli implantaadi täiustatud versiooni, mida tuntakse nime all POWERSTAR , mida nimetatakse ka GhostEchoks või CharmPoweriks.

2023. aasta mai keskel toimunud konkreetses rünnakujärjekorras käivitasid APT35 ohus osalejad andmepüügikampaania. Nende sihtmärgiks oli tuumajulgeolekuekspert, kes oli seotud USA-s asuva välisasjadele keskendunud mõttekojaga. Rünnak hõlmas petlike meilide saatmist, mis sisaldasid Google Scripti makrona maskeeritud pahatahtlikku linki. Pärast klõpsamist suunas link sihtmärgi ümber Dropboxi URL-ile, mis majutab RAR-i arhiivi.

APT35 kasutas erinevaid ründeahelaid, et ohustada Apple'i kasutajaid NokNoki pahavaraga

Kui valitud sihtmärk kasutab Apple'i seadet, kohandas APT35 väidetavalt oma meetodeid ja rakendas teisejärgulist taktikat. See hõlmas teise meili saatmist, mis sisaldas Mach-O binaarfaili sisaldavat ZIP-arhiivi. Fail maskeeris end VPN-rakenduseks, kuid tegelikkuses toimis see AppleScriptina. Käivitamisel loob see skript ühenduse kaugserveriga, et algatada NokNok-nimelise tagaukse allalaadimine.

NokNoki tagauks laadib installimisel alla kuni neli moodulit, millel on erinevad võimalused. Need moodulid võimaldavad koguda teavet, nagu töötavad protsessid, installitud rakendused ja süsteemi metaandmed. Lisaks hõlbustavad need LaunchAgentide abil püsivuse loomist ohustatud süsteemis.

Nimelt sarnaneb nende moodulite funktsionaalsus silmatorkavalt moodulitega, mis on seotud POWERSTARiga, varem tuvastatud tööriistaga, mida APT35 kasutab. See viitab kahe pahavara tüve võimaluste ja eesmärgi olulisele kattumisele. Lisaks on NokNokil sarnasusi koodidega macOS-i pahavaraga, mis oli varem 2017. aastal samale küberkuritegevuse rühmale omistatud.

Oma taktika edasiseks täiustamiseks lõid häkkerid ka petturliku failijagamise veebisaidi. See veebisait on tõenäoliselt viis külastajate sõrmejälgede võtmiseks, potentsiaalsete ohvrite kohta teabe kogumiseks ja jälgimismehhanismina nende rünnakute edu jälgimiseks.

Need TA453 kasutatavad adaptiivsed tehnikad näitavad nende jätkuvaid jõupingutusi Apple'i kasutajate sihtimiseks ja nende süsteemide ärakasutamiseks. See rõhutab tugevate turvatavade säilitamise tähtsust, nagu näiteks tarkvara regulaarne värskendamine, usaldusväärsete viirusetõrjelahenduste kasutamine ja ettevaatus meilimanustega suhtlemisel või failide allalaadimisel ebausaldusväärsetest allikatest. Olles kursis muutuvate ohtudega ja rakendades kõikehõlmavaid turvameetmeid, saavad kasutajad end paremini kaitsta selliste ohus osalejate tegevuse eest nagu APT35.