תוכנות זדוניות של NokNok Mac

שחקן פשעי הסייבר במדינה הלאומית שזוהה כ-APT35 מאיראן נקשר לגל של התקפות דיוג חנית ממוקדות המשפיעות על מערכות ההפעלה Windows ו-macOS כאחד. התקפות אלו מטרתן לחדור למערכות עם כלים מיוחדים של תוכנות זדוניות. ניתוח מתקפות APT35 גילה שההאקרים העסיקו ספקי אירוח ענן שונים כדי להקים שרשרת זיהומים ייחודית.

פושעי הסייבר השתמשו גם בשני איומי תוכנות זדוניות שלא היו ידועות בעבר. במערכות Windows, APT35 השתמש בדלת אחורית של PowerShell שהתגלתה לאחרונה בשם GorjolEcho. לחלופין, אם נמצא שהקורבנות משתמשים במכשיר של אפל, ההאקרים עברו לשרשרת זיהומים שונה שכללה איום תוכנה זדונית ב-Mac המלווה כ-NokNok.

זה מראה את ניסיונותיו של השחקן לנצל נקודות תורפה ספציפיות ל-macOS.

קבוצת פשעי הסייבר APT35 ממשיכה לפתח את טכניקות ההתחזות שלה בחנית

APT35, הידועה גם בשם Charming Kitten, TA453, Mint Sandstorm ו-Yellow Garuda, היא קבוצת איום בולטת בעלת קשרים עם משמרות המהפכה האיסלאמיים (IRGC). קבוצה זו פעילה לפחות משנת 2011, ועוסקת בפעולות סייבר שונות המיועדות ליחידים ולארגונים. במרדף הבלתי פוסק שלהם אחר פעילויות ריגול, APT35 השתמשו בטקטיקה הידועה בשם התחזות מרובה פרסונות, המערבת את גורמי האיום הנוטלים מספר זהויות כדי להונות מטרות ולהשיג גישה בלתי מורשית למידע רגיש.

הטכניקות המתוחכמות הללו שבהן משתמש APT35 מדגישות את המאמצים המתמשכים שלהם לבצע פעולות ריגול סייבר ממוקדות. הקבוצה בוחרת אסטרטגית יעדים בעלי פרופיל גבוה ומשתמשת בטקטיקות שונות, כמו פישינג ושימוש בכלים מותאמים אישית, כדי להתפשר על מערכות ולהשיג גישה לא מורשית למידע רגיש. נצפה כי APT35 עדכנה את הטקטיקה שלו על ידי שימוש בגרסה משופרת של שתל PowerShell המכונה POWERSTAR , המכונה גם GhostEcho או CharmPower.

ברצף תקיפה ספציפי שהתרחש באמצע מאי 2023, שחקני האיומים מ-APT35 פתחו בקמפיין פישינג. היעד שלהם היה מומחה לביטחון גרעיני הקשור לצוות חשיבה אמריקאי המתמקד בענייני חוץ. המתקפה כללה שליחת מיילים מטעים המכילים קישור זדוני שהוסווה למאקרו של Google Script. לאחר לחיצה, הקישור הפנה את היעד לכתובת URL של Dropbox המארח ארכיון RAR.

ה-APT35 הפעיל שרשראות תקיפה שונות כדי לסכן את משתמשי אפל עם תוכנת NokNok Malware

אם המטרה שנבחרה משתמשת במכשיר של אפל, לפי הדיווחים APT35 התאימה את השיטות שלה וביצעה טקטיקה משנית. זה כלל שליחת אימייל שני המכיל ארכיון ZIP ששילב קובץ בינארי של Mach-O. הקובץ התחפש לאפליקציית VPN, אך במציאות הוא תפקד כ-AppleScript. כאשר הוא מופעל, סקריפט זה יוצר חיבור עם שרת מרוחק כדי להתחיל הורדה של דלת אחורית בשם NokNok.

הדלת האחורית של NokNok, עם ההתקנה, מאחזרת עד ארבעה מודולים בעלי יכולות שונות. מודולים אלו מאפשרים איסוף מידע כגון תהליכים רצים, יישומים מותקנים ומטא נתונים של המערכת. בנוסף, הם מקלים על ביסוס התמדה בתוך המערכת שנפרצה על ידי שימוש ב-LaunchAgents.

יש לציין כי הפונקציונליות של מודולים אלו מזכירה דמיון מדהים למודולים הקשורים ל-POWERSTAR, כלי שזוהה בעבר על ידי APT35. זה מצביע על חפיפה משמעותית ביכולות ובמטרה של שני זני התוכנה הזדונית. יתר על כן, NokNok מציג קווי דמיון עם תוכנות זדוניות של macOS שיוחסו בעבר לאותה קבוצת פשעי סייבר ב-2017.

כדי לשפר עוד יותר את הטקטיקה שלהם, ההאקרים גם הקימו אתר שיתוף קבצים הונאה. אתר זה משמש ככל הנראה כדרך לטביעת אצבע של מבקרים, לאסוף מידע על קורבנות פוטנציאליים ולפעול כמנגנון מעקב למעקב אחר הצלחת ההתקפות שלהם.

טכניקות הסתגלות אלו שבהן משתמש TA453 מדגימות את מאמציהם המתמשכים למקד למשתמשי אפל ולנצל את המערכות שלהם. זה מדגיש את החשיבות של שמירה על נוהלי אבטחה חזקים, כגון עדכון שוטף של תוכנות, שימוש בפתרונות אנטי-וירוס אמינים, ושמירה על זהירות בעת אינטראקציה עם קבצים מצורפים לדוא"ל או הורדת קבצים ממקורות לא מהימנים. על ידי שמירה על מידע על איומים מתפתחים ויישום אמצעי אבטחה מקיפים, משתמשים יכולים להגן על עצמם טוב יותר מפני פעילויות של גורמי איומים כמו APT35.