NokNok Mac Malware

L'autore del crimine informatico di stato-nazione identificato come APT35 dall'Iran è stato associato a un'ondata di attacchi mirati di spear-phishing che hanno colpito sia i sistemi operativi Windows che macOS. Questi attacchi mirano a infiltrarsi nei sistemi con strumenti malware specializzati. L'analisi degli attacchi APT35 ha rivelato che gli hacker hanno utilizzato vari provider di cloud hosting per stabilire una catena di infezione univoca.

I criminali informatici hanno utilizzato anche due minacce malware precedentemente sconosciute. Sui sistemi Windows, APT35 utilizzava una backdoor di PowerShell recentemente scoperta denominata GorjolEcho. In alternativa, se si scopriva che le vittime utilizzavano un dispositivo Apple, gli hacker passavano a una catena di infezione modificata che coinvolgeva una minaccia malware per Mac tracciata come NokNok.

Questo mostra i tentativi dell'attore di sfruttare le vulnerabilità specifiche di macOS.

L'APT35 Cybercrime Group continua a sviluppare le sue tecniche di spear phishing

APT35, noto anche come Charming Kitten, TA453, Mint Sandstorm e Yellow Garuda, è un importante gruppo di minaccia con legami con il Corpo delle guardie rivoluzionarie islamiche dell'Iran (IRGC). Questo gruppo è attivo almeno dal 2011, impegnandosi in varie operazioni informatiche rivolte a individui e organizzazioni. Nella loro incessante ricerca di attività di spionaggio, APT35 ha impiegato una tattica nota come rappresentazione multi-persona, che prevede che gli attori della minaccia assumano più identità per ingannare gli obiettivi e ottenere l'accesso non autorizzato a informazioni sensibili.

Queste sofisticate tecniche impiegate da APT35 evidenziano i loro continui sforzi per eseguire operazioni mirate di spionaggio informatico. Il gruppo seleziona strategicamente obiettivi di alto profilo e impiega varie tattiche, come il phishing e l'utilizzo di strumenti personalizzati, per compromettere i sistemi e ottenere l'accesso non autorizzato a informazioni sensibili. È stato osservato che APT35 ha aggiornato le sue tattiche utilizzando una versione migliorata di un impianto PowerShell noto come POWERSTAR , noto anche come GhostEcho o CharmPower.

In una specifica sequenza di attacco verificatasi a metà maggio 2023, gli attori delle minacce di APT35 hanno lanciato una campagna di phishing. Il loro obiettivo era un esperto di sicurezza nucleare associato a un think tank con sede negli Stati Uniti che si occupava di affari esteri. L'attacco ha comportato l'invio di e-mail ingannevoli contenenti un collegamento dannoso camuffato da macro di Google Script. Una volta cliccato, il collegamento ha reindirizzato la destinazione a un URL Dropbox che ospita un archivio RAR.

L'APT35 ha impiegato diverse catene di attacco per compromettere gli utenti Apple con il malware NokNok

Se l'obiettivo prescelto utilizza un dispositivo Apple, APT35 avrebbe modificato i suoi metodi ed eseguito una tattica secondaria. Ciò ha comportato l'invio di una seconda e-mail contenente un archivio ZIP che incorporava un file binario Mach-O. Il file si travestiva da applicazione VPN, ma in realtà funzionava come un AppleScript. Quando viene eseguito, questo script stabilisce una connessione con un server remoto per avviare il download di una backdoor chiamata NokNok.

La backdoor NokNok, al momento dell'installazione, recupera fino a quattro moduli che possiedono varie capacità. Questi moduli consentono la raccolta di informazioni come processi in esecuzione, applicazioni installate e metadati di sistema. Inoltre, facilitano la creazione di persistenza all'interno del sistema compromesso utilizzando LaunchAgents.

In particolare, la funzionalità di questi moduli ha una sorprendente somiglianza con i moduli associati a POWERSTAR, uno strumento precedentemente identificato utilizzato da APT35. Ciò indica una significativa sovrapposizione nelle capacità e nello scopo dei due ceppi di malware. Inoltre, NokNok presenta somiglianze di codice con il malware macOS che era stato precedentemente attribuito allo stesso gruppo criminale informatico nel 2017.

Per migliorare ulteriormente le loro tattiche, gli hacker hanno anche creato un sito Web fraudolento per la condivisione di file. Questo sito Web probabilmente serve come un modo per rilevare le impronte digitali dei visitatori, raccogliere informazioni sulle potenziali vittime e fungere da meccanismo di tracciamento per monitorare il successo dei loro attacchi.

Queste tecniche adattive impiegate da TA453 dimostrano i loro continui sforzi per prendere di mira gli utenti Apple e sfruttare i loro sistemi. Sottolinea l'importanza di mantenere solide pratiche di sicurezza, come l'aggiornamento regolare del software, l'utilizzo di soluzioni antivirus affidabili e la cautela quando si interagisce con allegati di posta elettronica o si scaricano file da fonti non attendibili. Rimanendo informati sull'evoluzione delle minacce e implementando misure di sicurezza complete, gli utenti possono proteggersi meglio dalle attività di attori delle minacce come APT35.