NokNok Mac Malware

Az iráni APT35-ként azonosított nemzetállami kiberbűnözés szereplőjét célzott adathalász támadások hullámával hozták összefüggésbe, amelyek mind a Windows, mind a macOS operációs rendszereket érintik. Ezeknek a támadásoknak az a célja, hogy speciális malware-eszközökkel beszivárogjanak a rendszerekbe. Az APT35 támadások elemzése feltárta, hogy a hackerek különböző felhőtárhely-szolgáltatókat alkalmaztak egy egyedi fertőzési lánc létrehozására.

A kiberbűnözők két korábban ismeretlen kártevő fenyegetést is alkalmaztak. Windows rendszereken az APT35 egy újonnan felfedezett, GorjolEcho nevű PowerShell-hátsó ajtót használt. Alternatív megoldásként, ha az áldozatokról kiderült, hogy Apple-eszközt használtak, a hackerek egy módosított fertőzési láncra váltottak, amely egy NokNok néven nyomon követett Mac rosszindulatú fenyegetést tartalmazott.

Ez azt mutatja, hogy a színész hogyan próbálja kihasználni a macOS-re jellemző biztonsági réseket.

Az APT35 kiberbűnözési csoport tovább fejleszti lándzsás adathalász technikáit

Az APT35, más néven Charming Kitten, TA453, Mint Sandstorm és Yellow Garuda, egy prominens fenyegetési csoport, amely kapcsolatban áll az iráni Iszlám Forradalmi Gárda Testülettel (IRGC). Ez a csoport legalább 2011 óta aktív, és különféle kiberműveletekben vesz részt magánszemélyek és szervezetek megcélzásában. A kémtevékenység iránti kíméletlen törekvésük során az APT35 a többszemélyes megszemélyesítésnek nevezett taktikát alkalmazta, amely magában foglalja a fenyegető szereplőket, akik több azonosságot vállalnak, hogy megtévesszék a célpontokat, és jogosulatlanul hozzáférjenek érzékeny információkhoz.

Az APT35 által alkalmazott kifinomult technikák rávilágítanak a célzott kiberkémműveletek végrehajtására irányuló folyamatos erőfeszítéseikre. A csoport stratégiailag választja ki a kiemelt célpontokat, és különféle taktikákat alkalmaz, például adathalászatot és egyedi tervezésű eszközöket, hogy kompromittálja a rendszereket és illetéktelenül hozzáférjen az érzékeny információkhoz. Megfigyelték, hogy az APT35 frissítette taktikáját a PowerShell-implantátum POWERSTAR néven ismert továbbfejlesztett változatának felhasználásával, amelyet GhostEcho-nak vagy CharmPower-nek is neveznek.

Egy 2023. május közepén bekövetkezett támadássorozat során az APT35 fenyegetés szereplői adathalász kampányt indítottak. Célpontjuk egy nukleáris biztonsági szakértő volt, aki egy amerikai székhelyű, külügyekkel foglalkozó agytröszthöz kapcsolódott. A támadás során megtévesztő e-maileket küldtek, amelyek Google Script makrónak álcázott rosszindulatú linket tartalmaztak. A kattintás után a link átirányította a célt egy RAR archívumot tároló Dropbox URL-re.

Az APT35 különböző támadási láncokat alkalmazott, hogy kompromittálja az Apple-felhasználókat a NokNok kártevőkkel

Ha a kiválasztott cél egy Apple eszközt használ, az APT35 állítólag módosította módszereit, és másodlagos taktikát hajtott végre. Ez magában foglalta egy második e-mail küldését, amely egy Mach-O bináris fájlt tartalmazó ZIP archívumot tartalmazott. A fájl VPN-alkalmazásnak álcázta magát, de a valóságban AppleScriptként működött. Amikor végrehajtják, ez a szkript kapcsolatot létesít egy távoli szerverrel, hogy elindítsa a NokNok nevű hátsó ajtó letöltését.

A NokNok hátsó ajtó telepítéskor akár négy modult is lekér, amelyek különféle képességekkel rendelkeznek. Ezek a modulok lehetővé teszik az olyan információk gyűjtését, mint a futó folyamatok, a telepített alkalmazások és a rendszer metaadatai. Ezen túlmenően LaunchAgents segítségével megkönnyítik a perzisztencia kialakítását a kompromittált rendszeren belül.

Nevezetesen, ezeknek a moduloknak a funkcionalitása megdöbbentően hasonlít a POWERSTAR-hoz, az APT35 által használt korábban azonosított eszközhöz kapcsolódó modulokhoz. Ez jelentős átfedést jelez a két malware-törzs képességeiben és céljában. Ezenkívül a NokNok kód hasonlóságot mutat a macOS rosszindulatú programokkal, amelyeket korábban 2017-ben ugyanannak a kiberbűnözési csoportnak tulajdonítottak.

A hackerek taktikájuk továbbfejlesztése érdekében csalárd fájlmegosztó webhelyet is létrehoztak. Ez a webhely valószínűleg egy módja annak, hogy ujjlenyomatot készítsen a látogatókról, információkat gyűjtsön a potenciális áldozatokról, és nyomkövető mechanizmusként szolgáljon a támadásaik sikerének nyomon követésére.

Ezek a TA453 által alkalmazott adaptív technikák demonstrálják az Apple-felhasználók megcélzására és rendszereik kihasználására irányuló folyamatos erőfeszítéseiket. Hangsúlyozza az erős biztonsági gyakorlatok fenntartásának fontosságát, mint például a szoftverek rendszeres frissítése, megbízható vírusirtó megoldások alkalmazása, valamint az e-mail mellékletekkel való együttműködés vagy fájlok nem megbízható forrásból történő letöltése során. Azáltal, hogy folyamatosan tájékozottak maradnak a fejlődő fenyegetésekről, és átfogó biztonsági intézkedéseket vezetnek be, a felhasználók jobban megvédhetik magukat az olyan fenyegetés szereplőitől, mint az APT35.