NokNok Mac -haittaohjelma

Iranista APT35:ksi tunnistettu kansallisvaltion kyberrikollisuuden toimija on liitetty kohdennettuihin tietokalasteluhyökkäysten aaltoon, joka vaikuttaa sekä Windows- että macOS-käyttöjärjestelmiin. Nämä hyökkäykset pyrkivät tunkeutumaan järjestelmiin erityisillä haittaohjelmatyökaluilla. APT35- hyökkäysten analyysi paljasti, että hakkerit käyttivät erilaisia pilvipalveluntarjoajia luodakseen ainutlaatuisen tartuntaketjun.

Kyberrikolliset käyttivät myös kahta aiemmin tuntematonta haittaohjelmauhkaa. Windows-järjestelmissä APT35 käytti äskettäin löydettyä PowerShell-takaovea nimeltä GorjolEcho. Vaihtoehtoisesti, jos uhrien havaittiin käyttävän Apple-laitetta, hakkerit siirtyivät muunneltuun tartuntaketjuun, joka sisälsi Mac-haittaohjelmauhan, jota seurattiin nimellä NokNok.

Tämä osoittaa näyttelijän yritykset hyödyntää macOS:lle ominaisia haavoittuvuuksia.

APT35 Cyber Crime Group jatkaa keihäs-phishing-tekniikoiden kehittämistä

APT35, joka tunnetaan myös nimellä Charming Kitten, TA453, Mint Sandstorm ja Yellow Garuda, on näkyvä uhkaryhmä, jolla on siteitä Iranin Islamic Revolutionary Guard Corpsiin (IRGC). Tämä ryhmä on ollut aktiivinen ainakin vuodesta 2011 lähtien ja se on tehnyt erilaisia kyberoperaatioita yksilöille ja organisaatioille. Säälimättömässä vakoilutoiminnan harjoittamisessa APT35 käytti taktiikkaa, joka tunnetaan nimellä monen henkilön matkiminen, jossa uhkaavat toimijat omaksuvat useita identiteettejä pettääkseen kohteita ja saadakseen luvattoman pääsyn arkaluonteisiin tietoihin.

Nämä APT35:n käyttämät kehittyneet tekniikat korostavat heidän jatkuvia pyrkimyksiään toteuttaa kohdennettuja kybervakoiluoperaatioita. Ryhmä valitsee strategisesti korkean profiilin kohteet ja käyttää erilaisia taktiikoita, kuten tietojenkalastelua ja räätälöityjen työkalujen käyttöä, vaarantaakseen järjestelmiä ja saadakseen luvattoman pääsyn arkaluonteisiin tietoihin. APT35:n on havaittu päivittäneen taktiikkaansa käyttämällä PowerShell-implanttien parannettua versiota, joka tunnetaan nimellä POWERSTAR , jota kutsutaan myös nimellä GhostEcho tai CharmPower.

Tietyssä hyökkäyssarjassa, joka tapahtui toukokuun puolivälissä 2023, APT35:n uhkatoimijat käynnistivät tietojenkalastelukampanjan. Heidän kohteensa oli ydinturvallisuusasiantuntija, joka oli yhteydessä yhdysvaltalaiseen ulkoasioihin keskittyvään ajatushautomoon. Hyökkäys sisälsi harhaanjohtavien sähköpostien lähettämisen, jotka sisälsivät Google Script -makroksi naamioituneen haitallisen linkin. Napsautettuaan linkki ohjasi kohteen Dropbox-URL-osoitteeseen, jossa on RAR-arkisto.

APT35 käytti erilaisia hyökkäysketjuja vaarantaakseen Applen käyttäjät NokNok-haittaohjelmalla

Jos valittu kohde käyttää Applen laitetta, APT35 on kuulemma säätänyt menetelmiään ja toteuttanut toissijaisen taktiikan. Tämä sisälsi toisen sähköpostin lähettämisen, joka sisälsi Mach-O-binaaritiedoston sisältävän ZIP-arkiston. Tiedosto naamioitui VPN-sovellukseksi, mutta todellisuudessa se toimi AppleScriptina. Kun tämä komentosarja suoritetaan, se muodostaa yhteyden etäpalvelimeen aloittaakseen NokNok-nimisen takaoven latauksen.

NokNok-takaovi hakee asennuksen yhteydessä jopa neljä moduulia, joilla on erilaisia ominaisuuksia. Nämä moduulit mahdollistavat tietojen, kuten käynnissä olevien prosessien, asennettujen sovellusten ja järjestelmän metatietojen keräämisen. Lisäksi ne helpottavat pysyvyyden luomista vaarannetun järjestelmän sisällä LaunchAgents-agenttien avulla.

Näiden moduulien toiminnallisuus muistuttaa hämmästyttävän paljon POWERSTARIin liittyviä moduuleja, jotka ovat aiemmin tunnistettu APT35:n käyttämä työkalu. Tämä osoittaa merkittävää päällekkäisyyttä näiden kahden haittaohjelmakannan ominaisuuksissa ja tarkoituksessa. Lisäksi NokNokissa on koodin yhtäläisyyksiä macOS-haittaohjelmien kanssa, jotka aiemmin liitettiin samaan tietoverkkorikollisryhmään vuonna 2017.

Parantaakseen taktiikansa entisestään hakkerit perustivat myös petollisen tiedostojenjakosivuston. Tämä verkkosivusto todennäköisesti toimii tapana ottaa sormenjäljet kävijöistä, kerätä tietoja mahdollisista uhreista ja toimia seurantamekanismina heidän hyökkäysten onnistumisen seuraamiseksi.

Nämä TA453:n käyttämät mukautuvat tekniikat osoittavat sen jatkuvat pyrkimykset kohdistaa Applen käyttäjiin ja hyödyntää heidän järjestelmiään. Se korostaa vahvojen tietoturvakäytäntöjen ylläpitämisen tärkeyttä, kuten ohjelmistojen säännöllistä päivittämistä, luotettavien virustentorjuntaratkaisujen käyttämistä ja varovaisuutta, kun käsitellään sähköpostin liitteitä tai ladataan tiedostoja epäluotettavista lähteistä. Pysymällä ajan tasalla kehittyvistä uhista ja ottamalla käyttöön kattavia turvatoimia käyttäjät voivat suojautua paremmin APT35:n kaltaisten uhkatoimijoiden toimilta.