NokNok Mac zlonamjerni softver

Državni akter kibernetičkog kriminala identificiran kao APT35 iz Irana povezan je s valom ciljanih spear-phishing napada koji pogađaju i operativne sustave Windows i macOS. Ovi napadi imaju za cilj infiltrirati se u sustave sa specijaliziranim zlonamjernim alatima. Analiza napada APT35 otkrila je da su hakeri koristili različite pružatelje usluga hostinga u oblaku kako bi uspostavili jedinstveni lanac infekcije.

Cyberkriminalci su također upotrijebili dvije dosad nepoznate prijetnje zlonamjernim softverom. Na Windows sustavima, APT35 je koristio novootkriveni PowerShell backdoor nazvan GorjolEcho. Alternativno, ako se utvrdi da žrtve koriste Appleov uređaj, hakeri su se prebacili na modificirani lanac zaraze koji je uključivao Mac malware prijetnju koja se prati kao NokNok.

Ovo pokazuje pokušaje glumca da iskoristi ranjivosti specifične za macOS.

Grupa za kibernetički kriminal APT35 nastavlja razvijati svoje tehnike krađe identiteta

APT35, također poznat kao Charming Kitten, TA453, Mint Sand Storm i Yellow Garuda, istaknuta je prijetnja skupina s vezama s iranskom Islamskom revolucionarnom gardom (IRGC). Ova je skupina aktivna najmanje od 2011., angažirajući se u raznim cyber operacijama usmjerenim na pojedince i organizacije. U svojoj neumoljivoj potrazi za špijunskim aktivnostima, APT35 primijenio je taktiku poznatu kao lažno predstavljanje više osoba, koja uključuje aktere prijetnje koji preuzimaju višestruke identitete kako bi zavarali mete i dobili neovlašteni pristup osjetljivim informacijama.

Ove sofisticirane tehnike koje koristi APT35 naglašavaju njihove stalne napore u provođenju ciljanih operacija kibernetičke špijunaže. Grupa strateški odabire mete visokog profila i koristi razne taktike, kao što je krađa identiteta i korištenje alata izrađenih po narudžbi, kako bi kompromitirali sustave i dobili neovlašteni pristup osjetljivim informacijama. Uočeno je da je APT35 ažurirao svoju taktiku korištenjem poboljšane verzije PowerShell implantata poznatog kao POWERSTAR , koji se također naziva GhostEcho ili CharmPower.

U specifičnoj sekvenci napada koji se dogodio sredinom svibnja 2023. akteri prijetnje iz APT35 pokrenuli su phishing kampanju. Njihova meta bio je stručnjak za nuklearnu sigurnost povezan s američkim think tankom koji se bavi vanjskim poslovima. Napad je uključivao slanje obmanjujuće e-pošte koja je sadržavala zlonamjernu vezu prerušenu u Google Script makro. Nakon što se klikne, poveznica je preusmjerila metu na Dropbox URL na kojem se nalazi RAR arhiva.

APT35 je koristio različite lance napada kako bi ugrozio korisnike Applea zlonamjernim softverom NokNok

Ako odabrana meta koristi Apple uređaj, APT35 je navodno prilagodio svoje metode i izvršio sekundarnu taktiku. To je uključivalo slanje druge e-pošte koja je sadržavala ZIP arhivu koja je uključivala Mach-O binarnu datoteku. Datoteka se maskirala kao VPN aplikacija, ali je u stvarnosti funkcionirala kao AppleScript. Kada se izvrši, ova skripta uspostavlja vezu s udaljenim poslužiteljem kako bi pokrenula preuzimanje backdoor-a koji se zove NokNok.

NokNok backdoor, nakon instalacije, dohvaća do četiri modula koji posjeduju različite mogućnosti. Ovi moduli omogućuju prikupljanje informacija kao što su pokrenuti procesi, instalirane aplikacije i metapodaci sustava. Dodatno, oni olakšavaju uspostavljanje postojanosti unutar ugroženog sustava korištenjem LaunchAgents.

Značajno je da funkcionalnost ovih modula ima zapanjujuću sličnost s modulima povezanim s POWERSTAR-om, prethodno identificiranim alatom koji koristi APT35. To ukazuje na značajno preklapanje u mogućnostima i svrsi dviju sorti zlonamjernog softvera. Nadalje, NokNok pokazuje sličnosti koda s macOS zlonamjernim softverom koji je prethodno pripisan istoj skupini kibernetičkog kriminala 2017.

Kako bi dodatno unaprijedili svoju taktiku, hakeri su također uspostavili lažnu web stranicu za dijeljenje datoteka. Ova web stranica vjerojatno služi kao način za uzimanje otisaka prstiju posjetitelja, prikupljanje informacija o potencijalnim žrtvama i djeluje kao mehanizam za praćenje za praćenje uspjeha njihovih napada.

Ove adaptivne tehnike koje koristi TA453 demonstriraju njihove stalne napore usmjerene na korisnike Applea i iskorištavanje njihovih sustava. Naglašava važnost održavanja jakih sigurnosnih praksi, poput redovitog ažuriranja softvera, upotrebe pouzdanih antivirusnih rješenja i opreza pri interakciji s privicima e-pošte ili preuzimanju datoteka iz nepouzdanih izvora. Informirajući se o prijetnjama koje se razvijaju i implementirajući sveobuhvatne sigurnosne mjere, korisnici se mogu bolje zaštititi od aktivnosti aktera prijetnji kao što je APT35.