„NokNok Mac“ kenkėjiška programa

Nacionalinės valstybės kibernetinių nusikaltimų veikėjas, žinomas kaip APT35 iš Irano, buvo siejamas su tikslinių sukčiavimo išpuolių banga, paveikiančia tiek Windows, tiek MacOS operacines sistemas. Šiomis atakomis siekiama įsiskverbti į sistemas naudojant specializuotus kenkėjiškų programų įrankius. APT35 atakų analizė atskleidė, kad įsilaužėliai pasitelkė įvairius debesų prieglobos paslaugų teikėjus, kad sukurtų unikalią infekcijos grandinę.

Kibernetiniai nusikaltėliai taip pat panaudojo dvi anksčiau nežinomas kenkėjiškų programų grėsmes. „Windows“ sistemose APT35 naudojo naujai atrastą „PowerShell“ užpakalines duris, pavadintas „GorjolEcho“. Arba, jei buvo nustatyta, kad aukos naudojo „Apple“ įrenginį, įsilaužėliai perėjo prie modifikuotos infekcijos grandinės, kuri apėmė „Mac“ kenkėjiškų programų grėsmę, stebimą kaip „NokNok“.

Tai rodo aktoriaus bandymus išnaudoti „macOS“ būdingas spragas.

APT35 kibernetinių nusikaltimų grupė toliau tobulina savo sukčiavimo sukčiavimo būdus

APT35, taip pat žinomas kaip „Charming Kitten“, „TA453“, „Mint Sandstorm“ ir „Yellow Garuda“, yra iškili grėsmės grupė, turinti ryšių su Irano Islamo revoliucinės gvardijos korpusu (IRGC). Ši grupė aktyviai veikia mažiausiai nuo 2011 m., vykdanti įvairias kibernetines operacijas, nukreiptas į asmenis ir organizacijas. Nenumaldomai siekdami šnipinėjimo veiklos, APT35 taikė taktiką, žinomą kaip apsimetinėjimas keliais asmenimis, kai grėsmės veikėjai prisiima kelias tapatybes, kad apgautų taikinius ir gautų neteisėtą prieigą prie neskelbtinos informacijos.

Šios sudėtingos APT35 naudojamos technikos pabrėžia jų nuolatines pastangas vykdyti tikslines kibernetinio šnipinėjimo operacijas. Grupė strategiškai atrenka aukšto lygio taikinius ir taiko įvairias taktikas, tokias kaip sukčiavimas ir specialiai sukurtų įrankių naudojimas, siekdama pažeisti sistemas ir gauti neteisėtą prieigą prie jautrios informacijos. Pastebėta, kad APT35 atnaujino savo taktiką, naudodamas patobulintą PowerShell implanto, žinomo kaip POWERSTAR, versiją, dar vadinamą GhostEcho arba CharmPower.

Konkrečioje atakų sekoje, įvykusioje 2023 m. gegužės viduryje, grėsmės veikėjai iš APT35 pradėjo sukčiavimo kampaniją. Jų taikinys buvo branduolinio saugumo ekspertas, susijęs su JAV įsikūrusia ekspertų grupe, daugiausia dėmesio skiriančia užsienio reikalams. Ataka apėmė apgaulingų el. laiškų siuntimą su kenkėjiška nuoroda, užmaskuota kaip „Google Script“ makrokomanda. Spustelėjus nuoroda nukreipė taikinį į „Dropbox“ URL, kuriame yra RAR archyvas.

APT35 naudojo skirtingas atakų grandines, kad sukompromituotų „Apple“ vartotojus su „NokNok“ kenkėjiška programa

Jei pasirinktas taikinys naudoja Apple įrenginį, APT35, kaip pranešama, pakoregavo savo metodus ir ėmėsi antrinės taktikos. Buvo išsiųstas antrasis el. laiškas su ZIP archyvu, kuriame buvo dvejetainis Mach-O failas. Failas buvo užmaskuotas kaip VPN programa, tačiau iš tikrųjų jis veikė kaip „AppleScript“. Kai vykdomas, šis scenarijus užmezga ryšį su nuotoliniu serveriu, kad būtų pradėtas galinių durų, vadinamų NokNok, atsisiuntimas.

„NokNok“ užpakalinės durys, įdiegus, nuskaito iki keturių modulių, turinčių įvairias galimybes. Šie moduliai leidžia rinkti tokią informaciją kaip vykdomi procesai, įdiegtos programos ir sistemos metaduomenys. Be to, naudojant LaunchAgents, jie palengvina patvarumą pažeistoje sistemoje.

Pažymėtina, kad šių modulių funkcionalumas yra labai panašus į modulius, susijusius su POWERSTAR, anksčiau identifikuotu įrankiu, naudojamu APT35. Tai rodo, kad dviejų kenkėjiškų programų atmainų galimybės ir paskirtis labai sutampa. Be to, „NokNok“ turi kodų panašumų su „macOS“ kenkėjiška programa, kuri anksčiau buvo priskirta tai pačiai elektroninių nusikaltimų grupei 2017 m.

Siekdami dar labiau pagerinti savo taktiką, įsilaužėliai taip pat sukūrė apgaulingą failų dalijimosi svetainę. Tikėtina, kad ši svetainė yra būdas atspausdinti lankytojų pirštų atspaudus, rinkti informaciją apie galimas aukas ir sekti jų atakų sėkmę.

Šie TA453 naudojami prisitaikymo būdai parodo jų nuolatines pastangas nukreipti į Apple vartotojus ir išnaudoti jų sistemas. Jame pabrėžiama, kaip svarbu laikytis griežtos saugos praktikos, pvz., reguliariai atnaujinti programinę įrangą, naudoti patikimus antivirusinius sprendimus ir elgtis atsargiai, kai bendraujate su el. pašto priedais arba atsisiunčiate failus iš nepatikimų šaltinių. Būdami informuoti apie besivystančias grėsmes ir įgyvendindami visapusiškas saugumo priemones, vartotojai gali geriau apsisaugoti nuo grėsmės veikėjų, tokių kaip APT35, veiklos.