NokNok Mac ļaunprātīga programmatūra

Nacionālās valsts kibernoziedzības dalībnieks, kas identificēts kā APT35 no Irānas, ir saistīts ar mērķtiecīgu pikšķerēšanas uzbrukumu vilni, kas ietekmē gan Windows, gan macOS operētājsistēmas. Šo uzbrukumu mērķis ir iefiltrēties sistēmās ar specializētiem ļaunprātīgas programmatūras rīkiem. APT35 uzbrukumu analīze atklāja, ka hakeri izmantoja dažādus mākoņa mitināšanas pakalpojumu sniedzējus, lai izveidotu unikālu infekcijas ķēdi.

Kibernoziedznieki izmantoja arī divus iepriekš nezināmus ļaunprātīgas programmatūras draudus. Windows sistēmās APT35 izmantoja jaunatklātās PowerShell aizmugures durvis ar nosaukumu GorjolEcho. Alternatīvi, ja tika konstatēts, ka upuri izmanto Apple ierīci, hakeri pārgāja uz modificētu infekcijas ķēdi, kas ietvēra Mac ļaunprātīgas programmatūras draudus, kas izsekots kā NokNok.

Tas parāda aktiera mēģinājumus izmantot ievainojamības, kas raksturīgas MacOS.

APT35 kibernoziedzības grupa turpina attīstīt savas pikšķerēšanas metodes

APT35, kas pazīstams arī kā Charming Kitten, TA453, Mint Sandstorm un Yellow Garuda, ir ievērojama draudu grupa, kas saistīta ar Irānas Islāma revolūcijas gvardes korpusu (IRGC). Šī grupa ir aktīvi darbojusies vismaz kopš 2011. gada, iesaistoties dažādās kiberoperācijās, kuru mērķauditorija ir personas un organizācijas. Nemitīgi tiecoties pēc spiegošanas darbībām, APT35 izmantoja taktiku, kas pazīstama kā vairāku personu uzdošanās, kas ietver draudu dalībniekus, kas pieņem vairākas identitātes, lai maldinātu mērķus un iegūtu nesankcionētu piekļuvi sensitīvai informācijai.

Šīs sarežģītās metodes, ko izmanto APT35, izceļ viņu pastāvīgos centienus veikt mērķtiecīgas kiberspiegošanas operācijas. Grupa stratēģiski atlasa augsta līmeņa mērķus un izmanto dažādas taktikas, piemēram, pikšķerēšanu un pielāgotu rīku izmantošanu, lai kompromitētu sistēmas un iegūtu nesankcionētu piekļuvi sensitīvai informācijai. Ir novērots, ka APT35 ir atjauninājis savu taktiku, izmantojot PowerShell implanta uzlaboto versiju, kas pazīstama kā POWERSTAR , saukta arī par GhostEcho vai CharmPower.

Konkrētā uzbrukuma secībā, kas notika 2023. gada maija vidū, APT35 apdraudējuma dalībnieki uzsāka pikšķerēšanas kampaņu. Viņu mērķis bija kodoldrošības eksperts, kas saistīts ar ASV bāzētu domnīcu, kas koncentrējas uz ārlietām. Uzbrukums ietvēra maldinošu e-pasta ziņojumu sūtīšanu, kas satur ļaunprātīgu saiti, kas slēpta kā Google skripta makro. Pēc noklikšķināšanas saite novirzīja mērķi uz Dropbox URL, kurā tiek mitināts RAR arhīvs.

APT35 izmantoja dažādas uzbrukuma ķēdes, lai kompromitētu Apple lietotājus ar NokNok ļaunprātīgu programmatūru

Ja izvēlētais mērķis izmanto Apple ierīci, APT35, kā ziņots, pielāgoja savas metodes un veica sekundāru taktiku. Tas ietvēra otra e-pasta nosūtīšanu, kurā bija ZIP arhīvs, kurā bija iekļauts Mach-O binārais fails. Fails maskējās kā VPN lietojumprogramma, bet patiesībā tas darbojās kā AppleScript. Kad tas tiek izpildīts, šis skripts izveido savienojumu ar attālo serveri, lai sāktu aizmugures durvju lejupielādi ar nosaukumu NokNok.

NokNok aizmugures durvis instalēšanas laikā izgūst līdz pat četriem moduļiem, kuriem ir dažādas iespējas. Šie moduļi ļauj apkopot tādu informāciju kā darbības procesi, instalētās lietojumprogrammas un sistēmas metadati. Turklāt tie atvieglo noturības izveidi apdraudētajā sistēmā, izmantojot LaunchAgents.

Konkrēti, šo moduļu funkcionalitātei ir pārsteidzoša līdzība ar moduļiem, kas saistīti ar POWERSTAR, iepriekš identificētu rīku, ko izmanto APT35. Tas norāda uz ievērojamu divu ļaunprātīgas programmatūras celmu iespēju un mērķa pārklāšanos. Turklāt NokNok kods ir līdzīgs ar MacOS ļaunprātīgu programmatūru, kas iepriekš tika attiecināta uz to pašu kibernoziegumu grupu 2017. gadā.

Lai vēl vairāk uzlabotu savu taktiku, hakeri izveidoja arī krāpniecisku failu apmaiņas vietni. Šī vietne, iespējams, kalpo kā veids, kā apmeklētājiem noņemt pirkstu nospiedumus, apkopot informāciju par potenciālajiem upuriem un darboties kā izsekošanas mehānisms, lai uzraudzītu viņu uzbrukumu panākumus.

Šīs adaptīvās metodes, ko izmanto TA453, demonstrē viņu pastāvīgos centienus mērķēt uz Apple lietotājiem un izmantot viņu sistēmas. Tas uzsver, cik svarīgi ir uzturēt spēcīgu drošības praksi, piemēram, regulāri atjaunināt programmatūru, izmantot uzticamus pretvīrusu risinājumus un ievērot piesardzību, mijiedarbojoties ar e-pasta pielikumiem vai lejupielādējot failus no neuzticamiem avotiem. Saglabājot informāciju par draudiem un ieviešot visaptverošus drošības pasākumus, lietotāji var labāk aizsargāties pret tādu apdraudējumu dalībnieku kā APT35 darbībām.