NokNok Mac Malware

តួអង្គឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតរបស់រដ្ឋដែលត្រូវបានកំណត់ថាជា APT35 មកពីប្រទេសអ៊ីរ៉ង់ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងរលកនៃការវាយប្រហារដោយលំពែងគោលដៅដែលប៉ះពាល់ដល់ទាំងប្រព័ន្ធប្រតិបត្តិការ Windows និង macOS ។ ការវាយប្រហារទាំងនេះមានគោលបំណងជ្រៀតចូលប្រព័ន្ធជាមួយនឹងឧបករណ៍មេរោគឯកទេស។ ការវិភាគនៃការវាយប្រហារ APT35 បានបង្ហាញថាពួក Hacker បានជួលអ្នកផ្តល់សេវាបង្ហោះពពកផ្សេងៗដើម្បីបង្កើតខ្សែសង្វាក់ឆ្លងមេរោគតែមួយគត់។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតក៏បានប្រើការគំរាមកំហែងមេរោគដែលមិនស្គាល់ពីមុនចំនួនពីរផងដែរ។ នៅលើប្រព័ន្ធវីនដូ APT35 បានប្រើប្រាស់ PowerShell backdoor ដែលបានរកឃើញថ្មីដែលមានឈ្មោះថា GorjolEcho ។ ម៉្យាងទៀត ប្រសិនបើជនរងគ្រោះត្រូវបានគេរកឃើញថាកំពុងប្រើប្រាស់ឧបករណ៍ Apple នោះពួក Hacker បានប្តូរទៅខ្សែសង្វាក់ឆ្លងមេរោគដែលបានកែប្រែដែលពាក់ព័ន្ធនឹងការគំរាមកំហែងរបស់ Mac Malware ដែលតាមដានជា NokNok ។

នេះបង្ហាញពីការព្យាយាមរបស់តារាសម្តែងក្នុងការទាញយកភាពងាយរងគ្រោះជាក់លាក់ចំពោះ macOS ។

APT35 Cybercrime Group បន្តវិវឌ្ឍបច្ចេកទេស Spear-Phishing របស់ខ្លួន

APT35 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា Charming Kitten, TA453, Mint Sandstorm, និង Yellow Garuda គឺជាក្រុមគំរាមកំហែងដ៏លេចធ្លោមួយដែលមានទំនាក់ទំនងជាមួយអង្គភាពឆ្មាំបដិវត្តន៍អ៊ីស្លាមអ៊ីរ៉ង់ (IRGC) ។ ក្រុមនេះបានសកម្មតាំងពីឆ្នាំ 2011 មកម្ល៉េះ ដោយបានចូលរួមក្នុងប្រតិបត្តិការអ៊ីនធឺណេតផ្សេងៗដែលកំណត់គោលដៅបុគ្គល និងអង្គការនានា។ នៅក្នុងការស្វែងរកដោយឥតឈប់ឈរនៃសកម្មភាពចារកម្មរបស់ពួកគេ APT35 បានប្រើយុទ្ធសាស្ត្រដែលគេស្គាល់ថាជាការក្លែងបន្លំមនុស្សច្រើននាក់ ដែលពាក់ព័ន្ធនឹងតួអង្គគំរាមកំហែងដែលសន្មត់អត្តសញ្ញាណជាច្រើនដើម្បីបញ្ឆោតគោលដៅ និងទទួលបានព័ត៌មានរសើបដោយគ្មានការអនុញ្ញាត។

បច្ចេកទេសស្មុគ្រស្មាញទាំងនេះដែលប្រើប្រាស់ដោយ APT35 បង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដែលកំពុងបន្តរបស់ពួកគេដើម្បីអនុវត្តប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិតតាមគោលដៅ។ ក្រុមនេះជ្រើសរើសយុទ្ធសាស្ត្រជ្រើសរើសគោលដៅដែលមានទម្រង់ខ្ពស់ និងប្រើប្រាស់យុទ្ធសាស្ត្រផ្សេងៗ ដូចជាការបន្លំ និងការប្រើប្រាស់ឧបករណ៍ដែលបង្កើតដោយផ្ទាល់ខ្លួន ដើម្បីសម្របសម្រួលប្រព័ន្ធ និងទទួលបានសិទ្ធិចូលប្រើប្រាស់ព័ត៌មានរសើបដោយគ្មានការអនុញ្ញាត។ APT35 ត្រូវបានគេសង្កេតឃើញថាបានធ្វើបច្ចុប្បន្នភាពយុទ្ធសាស្ត្ររបស់ខ្លួនដោយប្រើប្រាស់កំណែប្រសើរឡើងនៃការផ្សាំ PowerShell ដែលគេស្គាល់ថាជា POWERSTAR ដែលត្រូវបានគេហៅផងដែរថា GhostEcho ឬ CharmPower ។

នៅក្នុងលំដាប់នៃការវាយប្រហារជាក់លាក់មួយដែលបានកើតឡើងនៅពាក់កណ្តាលខែឧសភា ឆ្នាំ 2023 តួអង្គគំរាមកំហែងពី APT35 បានចាប់ផ្តើមយុទ្ធនាការបន្លំមួយ។ គោលដៅរបស់ពួកគេគឺអ្នកជំនាញសន្តិសុខនុយក្លេអ៊ែរដែលទាក់ទងជាមួយក្រុមអ្នកគិតដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិកដែលផ្តោតលើកិច្ចការបរទេស។ ការវាយប្រហារនេះរួមមានការផ្ញើអ៊ីមែលបញ្ឆោតដែលមានតំណភ្ជាប់ព្យាបាទដែលក្លែងខ្លួនជាម៉ាក្រូ Google Script ។ នៅពេលចុចរួច តំណបានប្តូរទិសដៅគោលដៅទៅកាន់ Dropbox URL ដែលបង្ហោះបណ្ណសារ RAR ។

APT35 ប្រើខ្សែសង្វាក់វាយប្រហារផ្សេងៗគ្នា ដើម្បីសម្របសម្រួលអ្នកប្រើប្រាស់ Apple ជាមួយនឹងមេរោគ NokNok Malware

ប្រសិនបើគោលដៅដែលបានជ្រើសរើសកំពុងប្រើប្រាស់ឧបករណ៍របស់ Apple នោះ APT35 ត្រូវបានគេរាយការណ៍ថាបានកែសម្រួលវិធីសាស្ត្ររបស់វា ហើយបានអនុវត្តយុទ្ធសាស្ត្របន្ទាប់បន្សំ។ នេះពាក់ព័ន្ធនឹងការផ្ញើអ៊ីមែលទីពីរដែលមានបណ្ណសារ ZIP ដែលបញ្ចូលឯកសារគោលពីរ Mach-O ។ ឯកសារនេះបន្លំខ្លួនជាកម្មវិធី VPN ប៉ុន្តែតាមពិតវាមានមុខងារជា AppleScript ។ នៅពេលប្រតិបត្តិ ស្គ្រីបនេះបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេពីចម្ងាយ ដើម្បីចាប់ផ្តើមការទាញយក backdoor ដែលហៅថា NokNok ។

NokNok backdoor នៅពេលដំឡើង ទាញយកម៉ូឌុលរហូតដល់បួនដែលមានសមត្ថភាពផ្សេងៗ។ ម៉ូឌុលទាំងនេះបើកដំណើរការប្រមូលព័ត៌មានដូចជាដំណើរការដំណើរការ កម្មវិធីដែលបានដំឡើង និងទិន្នន័យមេតារបស់ប្រព័ន្ធ។ លើសពីនេះទៀត ពួកគេជួយសម្រួលដល់ការបង្កើតភាពជាប់លាប់នៅក្នុងប្រព័ន្ធដែលសម្របសម្រួលដោយប្រើប្រាស់ LaunchAgents ។

គួរកត់សម្គាល់ថាមុខងារនៃម៉ូឌុលទាំងនេះមានភាពស្រដៀងគ្នានឹងម៉ូឌុលដែលភ្ជាប់ជាមួយ POWERSTAR ដែលជាឧបករណ៍កំណត់អត្តសញ្ញាណពីមុនដែលប្រើដោយ APT35 ។ នេះបង្ហាញពីការត្រួតស៊ីគ្នាយ៉ាងសំខាន់នៅក្នុងសមត្ថភាព និងគោលបំណងនៃប្រភេទមេរោគទាំងពីរ។ លើសពីនេះ NokNok បង្ហាញភាពស្រដៀងគ្នានៃកូដជាមួយមេរោគ macOS ដែលពីមុនត្រូវបានសន្មតថាជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដូចគ្នាក្នុងឆ្នាំ 2017។

ដើម្បីបង្កើនយុទ្ធសាស្ត្ររបស់ពួកគេ ពួក Hacker ក៏បានបង្កើតគេហទំព័រចែករំលែកឯកសារក្លែងបន្លំផងដែរ។ គេហទំព័រនេះទំនងជាប្រើជាមធ្យោបាយមួយសម្រាប់អ្នកទស្សនាស្នាមម្រាមដៃ ប្រមូលព័ត៌មានអំពីជនរងគ្រោះដែលអាចកើតមាន និងដើរតួជាយន្តការតាមដានដើម្បីតាមដានភាពជោគជ័យនៃការវាយប្រហាររបស់ពួកគេ។

បច្ចេកទេសសម្របខ្លួនទាំងនេះដែលប្រើប្រាស់ដោយ TA453 បង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដែលកំពុងបន្តរបស់ពួកគេដើម្បីកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple និងទាញយកប្រព័ន្ធរបស់ពួកគេ។ វាគូសបញ្ជាក់ពីសារៈសំខាន់នៃការរក្សាការអនុវត្តសុវត្ថិភាពខ្លាំង ដូចជាការធ្វើបច្ចុប្បន្នភាពកម្មវិធីជាទៀងទាត់ ការប្រើប្រាស់ដំណោះស្រាយកំចាត់មេរោគដែលអាចទុកចិត្តបាន និងអនុវត្តការប្រុងប្រយ័ត្ននៅពេលធ្វើអន្តរកម្មជាមួយឯកសារភ្ជាប់អ៊ីមែល ឬទាញយកឯកសារពីប្រភពដែលមិនគួរឱ្យទុកចិត្ត។ តាមរយៈការបន្តជូនដំណឹងអំពីការវិវត្តនៃការគំរាមកំហែង និងការអនុវត្តវិធានការសុវត្ថិភាពដ៏ទូលំទូលាយ អ្នកប្រើប្រាស់អាចការពារខ្លួនបានកាន់តែប្រសើរឡើងប្រឆាំងនឹងសកម្មភាពរបស់អ្នកគំរាមកំហែងដូចជា APT35 ។