NokNok Mac Malware

ईरान से APT35 के रूप में पहचाने जाने वाले राष्ट्र-राज्य साइबर अपराध अभिनेता को विंडोज और मैकओएस ऑपरेटिंग सिस्टम दोनों को प्रभावित करने वाले लक्षित स्पीयर-फ़िशिंग हमलों की एक लहर से जोड़ा गया है। इन हमलों का उद्देश्य विशेष मैलवेयर टूल के साथ सिस्टम में घुसपैठ करना है। APT35 हमलों के विश्लेषण से पता चला कि हैकर्स ने एक अद्वितीय संक्रमण श्रृंखला स्थापित करने के लिए विभिन्न क्लाउड होस्टिंग प्रदाताओं को नियोजित किया।

साइबर अपराधियों ने दो पूर्व अज्ञात मैलवेयर खतरों का भी उपयोग किया। विंडोज़ सिस्टम पर, APT35 ने गोरजोलइको नामक एक नए खोजे गए पावरशेल बैकडोर का उपयोग किया। वैकल्पिक रूप से, यदि पीड़ितों को ऐप्पल डिवाइस का उपयोग करते हुए पाया जाता है, तो हैकर्स एक संशोधित संक्रमण श्रृंखला पर स्विच कर देते हैं जिसमें मैक मैलवेयर खतरा शामिल होता है जिसे नोकनोक के रूप में ट्रैक किया जाता है।

यह macOS के लिए विशिष्ट कमजोरियों का फायदा उठाने के अभिनेता के प्रयासों को दर्शाता है।

APT35 साइबरक्राइम ग्रुप अपनी स्पीयर-फ़िशिंग तकनीक विकसित करना जारी रखता है

APT35, जिसे चार्मिंग किटन, TA453, मिंट सैंडस्टॉर्म और येलो गरुड़ के नाम से भी जाना जाता है, ईरान के इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (IRGC) से जुड़ा एक प्रमुख खतरा समूह है। यह समूह कम से कम 2011 से सक्रिय है, व्यक्तियों और संगठनों को लक्षित करने वाले विभिन्न साइबर ऑपरेशनों में संलग्न है। जासूसी गतिविधियों की अपनी निरंतर खोज में, APT35 ने बहु-व्यक्तित्व प्रतिरूपण के रूप में जानी जाने वाली एक रणनीति अपनाई, जिसमें लक्ष्य को धोखा देने और संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने के लिए धमकी देने वाले अभिनेता कई पहचान अपनाते हैं।

APT35 द्वारा नियोजित ये परिष्कृत तकनीकें लक्षित साइबर जासूसी अभियानों को अंजाम देने के उनके चल रहे प्रयासों को उजागर करती हैं। समूह रणनीतिक रूप से हाई-प्रोफाइल लक्ष्यों का चयन करता है और सिस्टम से समझौता करने और संवेदनशील जानकारी तक अनधिकृत पहुंच हासिल करने के लिए फ़िशिंग और कस्टम-निर्मित टूल का उपयोग जैसी विभिन्न रणनीतियां अपनाता है। ऐसा देखा गया है कि APT35 ने पॉवरस्टार नामक पॉवरशेल इम्प्लांट के एक उन्नत संस्करण का उपयोग करके अपनी रणनीति को अद्यतन किया है, जिसे घोस्टइको या चार्मपावर भी कहा जाता है।

मई 2023 के मध्य में हुए एक विशिष्ट हमले के अनुक्रम में, APT35 के ख़तरनाक अभिनेताओं ने एक फ़िशिंग अभियान चलाया। उनका निशाना विदेशी मामलों पर ध्यान केंद्रित करने वाले अमेरिका स्थित थिंक टैंक से जुड़ा एक परमाणु सुरक्षा विशेषज्ञ था। हमले में Google स्क्रिप्ट मैक्रो के रूप में प्रच्छन्न एक दुर्भावनापूर्ण लिंक वाले भ्रामक ईमेल भेजना शामिल था। एक बार क्लिक करने पर, लिंक लक्ष्य को RAR संग्रह को होस्ट करने वाले ड्रॉपबॉक्स URL पर पुनर्निर्देशित कर देता है।

APT35 ने Apple उपयोगकर्ताओं को NokNok मैलवेयर से समझौता करने के लिए विभिन्न आक्रमण श्रृंखलाओं को नियोजित किया

यदि चुना गया लक्ष्य Apple डिवाइस का उपयोग कर रहा है, तो APT35 ने कथित तौर पर अपने तरीकों को समायोजित किया और एक द्वितीयक रणनीति को क्रियान्वित किया। इसमें एक ज़िप संग्रह वाला दूसरा ईमेल भेजना शामिल था जिसमें एक मैक-ओ बाइनरी फ़ाइल शामिल थी। फ़ाइल ने खुद को एक वीपीएन एप्लिकेशन के रूप में प्रच्छन्न किया, लेकिन वास्तव में, यह एक ऐप्पलस्क्रिप्ट के रूप में कार्य करती थी। निष्पादित होने पर, यह स्क्रिप्ट NokNok नामक पिछले दरवाजे के डाउनलोड को आरंभ करने के लिए एक दूरस्थ सर्वर के साथ एक कनेक्शन स्थापित करती है।

नोकनोक बैकडोर, इंस्टालेशन पर, विभिन्न क्षमताओं वाले चार मॉड्यूल को पुनः प्राप्त करता है। ये मॉड्यूल चल रही प्रक्रियाओं, इंस्टॉल किए गए एप्लिकेशन और सिस्टम मेटाडेटा जैसी जानकारी के संग्रह को सक्षम करते हैं। इसके अतिरिक्त, वे लॉन्चएजेंट्स का उपयोग करके समझौता किए गए सिस्टम के भीतर दृढ़ता की स्थापना की सुविधा प्रदान करते हैं।

विशेष रूप से, इन मॉड्यूल की कार्यक्षमता पावरस्टार से जुड़े मॉड्यूल से काफी मिलती-जुलती है, जो APT35 द्वारा नियोजित पहले से पहचाना गया उपकरण है। यह दो मैलवेयर उपभेदों की क्षमताओं और उद्देश्य में एक महत्वपूर्ण ओवरलैप को इंगित करता है। इसके अलावा, NokNok macOS मैलवेयर के साथ कोड समानताएं प्रदर्शित करता है जिसे पहले 2017 में उसी साइबर अपराध समूह के लिए जिम्मेदार ठहराया गया था।

अपनी रणनीति को और बेहतर बनाने के लिए, हैकरों ने एक धोखाधड़ी वाली फ़ाइल-साझाकरण वेबसाइट भी स्थापित की। यह वेबसाइट संभावित रूप से आगंतुकों के फिंगरप्रिंट लेने, संभावित पीड़ितों के बारे में जानकारी इकट्ठा करने और उनके हमलों की सफलता पर नज़र रखने के लिए एक ट्रैकिंग तंत्र के रूप में कार्य करती है।

TA453 द्वारा नियोजित ये अनुकूली तकनीकें Apple उपयोगकर्ताओं को लक्षित करने और उनके सिस्टम का शोषण करने के उनके चल रहे प्रयासों को प्रदर्शित करती हैं। यह मजबूत सुरक्षा प्रथाओं को बनाए रखने के महत्व को रेखांकित करता है, जैसे नियमित रूप से सॉफ़्टवेयर अपडेट करना, विश्वसनीय एंटीवायरस समाधान नियोजित करना, और ईमेल अनुलग्नकों के साथ बातचीत करते समय या अविश्वसनीय स्रोतों से फ़ाइलें डाउनलोड करते समय सावधानी बरतना। उभरते खतरों के बारे में सूचित रहकर और व्यापक सुरक्षा उपायों को लागू करके, उपयोगकर्ता APT35 जैसे खतरे वाले अभिनेताओं की गतिविधियों के खिलाफ खुद को बेहतर ढंग से सुरक्षित रख सकते हैं।