بدافزار NokNok Mac

عامل جنایات سایبری دولت ملی که با نام APT35 از ایران شناخته می شود، با موجی از حملات هدفمند فیشینگ نیزه ای همراه بوده است که بر سیستم عامل های ویندوز و macOS تأثیر می گذارد. هدف این حملات نفوذ به سیستم ها با ابزارهای بدافزار تخصصی است. تجزیه و تحلیل حملات APT35 نشان داد که هکرها از ارائه دهندگان میزبانی ابری مختلف برای ایجاد یک زنجیره عفونت منحصر به فرد استفاده کردند.

مجرمان سایبری همچنین از دو تهدید بدافزار ناشناخته قبلی استفاده کردند. در سیستم‌های ویندوز، APT35 از یک درب پشتی PowerShell جدید به نام GorjolEcho استفاده کرد. از طرف دیگر، اگر مشخص شود که قربانیان از یک دستگاه اپل استفاده می‌کنند، هکرها به یک زنجیره عفونت تغییر یافته که شامل یک تهدید بدافزار مک است که با نام NokNok ردیابی می‌شود، روی می‌آورند.

این نشان دهنده تلاش های بازیگر برای سوء استفاده از آسیب پذیری های مخصوص macOS است.

گروه جرایم سایبری APT35 به تکامل تکنیک های Spear-Phishing خود ادامه می دهد

APT35 که با نام‌های گربه جذاب، TA453، طوفان شن نعناع و گارودا زرد نیز شناخته می‌شود، یک گروه تهدیدکننده برجسته است که با سپاه پاسداران انقلاب اسلامی ایران (IRGC) ارتباط دارد. این گروه حداقل از سال 2011 فعال بوده و در عملیات های سایبری مختلف افراد و سازمان ها را هدف قرار داده است. APT35 در تعقیب بی‌وقفه فعالیت‌های جاسوسی خود، تاکتیکی به نام جعل هویت چند نفره را به کار گرفت که شامل عوامل تهدید کننده برای فریب دادن اهداف و دسترسی غیرمجاز به اطلاعات حساس، هویت‌های چندگانه می‌شود.

این تکنیک های پیچیده به کار گرفته شده توسط APT35 تلاش های مداوم آنها را برای انجام عملیات جاسوسی سایبری هدفمند برجسته می کند. این گروه به طور استراتژیک اهداف با مشخصات بالا را انتخاب می کند و از تاکتیک های مختلفی مانند فیشینگ و استفاده از ابزارهای سفارشی ساخته شده برای به خطر انداختن سیستم ها و دسترسی غیرمجاز به اطلاعات حساس استفاده می کند. مشاهده شده است که APT35 تاکتیک های خود را با استفاده از یک نسخه پیشرفته از ایمپلنت پاورشل به نام POWERSTAR که GhostEcho یا CharmPower نیز نامیده می شود، به روز کرده است.

در یک توالی حمله خاص که در اواسط می 2023 رخ داد، عوامل تهدید از APT35 یک کمپین فیشینگ راه اندازی کردند. هدف آنها یک کارشناس امنیت هسته ای مرتبط با یک اندیشکده مستقر در ایالات متحده با تمرکز بر امور خارجی بود. این حمله مستلزم ارسال ایمیل‌های فریبنده حاوی پیوند مخربی بود که به عنوان یک ماکرو Google Script پنهان شده بود. پس از کلیک کردن، پیوند هدف را به URL Dropbox که میزبان آرشیو RAR است هدایت می کند.

APT35 از زنجیره های حمله متفاوتی برای به خطر انداختن کاربران اپل با بدافزار NokNok استفاده می کند.

اگر هدف انتخاب شده از دستگاه اپل استفاده می کند، طبق گزارش ها، APT35 روش های خود را تنظیم کرده و یک تاکتیک ثانویه را اجرا می کند. این شامل ارسال یک ایمیل دوم حاوی یک آرشیو ZIP بود که یک فایل باینری Mach-O را در خود جای داده بود. این فایل خود را به عنوان یک برنامه VPN پنهان می کرد، اما در واقعیت، به عنوان یک AppleScript عمل می کرد. هنگامی که اجرا می شود، این اسکریپت با یک سرور راه دور ارتباط برقرار می کند تا بارگیری یک درب پشتی به نام NokNok را آغاز کند.

درب پشتی NokNok، پس از نصب، حداکثر چهار ماژول را که دارای قابلیت های مختلف هستند، بازیابی می کند. این ماژول ها امکان جمع آوری اطلاعاتی مانند فرآیندهای در حال اجرا، برنامه های کاربردی نصب شده و ابرداده های سیستم را فراهم می کنند. علاوه بر این، آنها با استفاده از LaunchAgents، استقرار پایداری در سیستم در معرض خطر را تسهیل می کنند.

قابل توجه، عملکرد این ماژول ها شباهت قابل توجهی به ماژول های مرتبط با POWERSTAR دارد، ابزاری که قبلاً توسط APT35 شناسایی شده بود. این نشان دهنده همپوشانی قابل توجهی در قابلیت ها و هدف دو نوع بدافزار است. علاوه بر این، NokNok شباهت های کدی را با بدافزار macOS نشان می دهد که قبلاً در سال 2017 به همان گروه جرایم سایبری نسبت داده شده بود.

برای تقویت بیشتر تاکتیک های خود، هکرها همچنین یک وب سایت تقلبی برای اشتراک گذاری فایل ایجاد کردند. این وب‌سایت احتمالاً راهی برای بازدیدکنندگان اثر انگشت، جمع‌آوری اطلاعات در مورد قربانیان احتمالی، و به عنوان مکانیزم ردیابی برای نظارت بر موفقیت حملات آنها عمل می‌کند.

این تکنیک‌های تطبیقی که توسط TA453 استفاده می‌شود، تلاش‌های مداوم آن‌ها را برای هدف قرار دادن کاربران اپل و بهره‌برداری از سیستم‌های آن‌ها نشان می‌دهد. این امر بر اهمیت حفظ شیوه‌های امنیتی قوی، مانند به‌روزرسانی منظم نرم‌افزار، استفاده از راه‌حل‌های آنتی ویروس قابل اعتماد، و احتیاط در هنگام تعامل با پیوست‌های ایمیل یا دانلود فایل‌ها از منابع نامعتبر تأکید می‌کند. با آگاه ماندن از تهدیدات در حال تحول و اجرای اقدامات امنیتی جامع، کاربران می توانند بهتر از خود در برابر فعالیت های عوامل تهدید مانند APT35 محافظت کنند.