Perisian Hasad NokNok Mac

Pelakon jenayah siber negara negara yang dikenal pasti sebagai APT35 dari Iran telah dikaitkan dengan gelombang serangan pancingan lembing yang disasarkan yang menjejaskan kedua-dua sistem pengendalian Windows dan macOS. Serangan ini bertujuan untuk menyusup ke sistem dengan alat perisian hasad khusus. Analisis serangan APT35 mendedahkan bahawa penggodam menggunakan pelbagai penyedia pengehosan awan untuk mewujudkan rantaian jangkitan yang unik.

Penjenayah siber juga menggunakan dua ancaman malware yang tidak diketahui sebelum ini. Pada sistem Windows, APT35 menggunakan pintu belakang PowerShell yang baru ditemui bernama GorjolEcho. Sebagai alternatif, jika mangsa didapati menggunakan peranti Apple, penggodam beralih kepada rantaian jangkitan yang diubah suai yang melibatkan ancaman perisian hasad Mac yang dikesan sebagai NokNok.

Ini menunjukkan percubaan pelakon untuk mengeksploitasi kelemahan khusus untuk macOS.

Kumpulan Jenayah Siber APT35 Terus Membangunkan Teknik Spear-Phishingnya

APT35, juga dikenali sebagai Charming Kitten, TA453, Mint Sandstorm dan Yellow Garuda, ialah kumpulan ancaman terkemuka yang mempunyai hubungan dengan Kor Pengawal Revolusi Islam Iran (IRGC). Kumpulan ini telah aktif sejak sekurang-kurangnya 2011, terlibat dalam pelbagai operasi siber yang menyasarkan individu dan organisasi. Dalam usaha mereka yang tidak henti-henti dalam aktiviti pengintipan, APT35 menggunakan taktik yang dikenali sebagai penyamaran berbilang persona, yang melibatkan pelaku ancaman yang menganggap berbilang identiti untuk memperdaya sasaran dan mendapatkan akses tanpa kebenaran kepada maklumat sensitif.

Teknik canggih yang digunakan oleh APT35 ini menyerlahkan usaha berterusan mereka untuk menjalankan operasi pengintipan siber yang disasarkan. Kumpulan itu secara strategik memilih sasaran berprofil tinggi dan menggunakan pelbagai taktik, seperti pancingan data dan penggunaan alat tersuai, untuk menjejaskan sistem dan mendapatkan akses tanpa kebenaran kepada maklumat sensitif. APT35 telah diperhatikan telah mengemas kini taktiknya dengan menggunakan versi dipertingkatkan bagi implan PowerShell yang dikenali sebagai POWERSTAR , juga dirujuk sebagai GhostEcho atau CharmPower.

Dalam urutan serangan khusus yang berlaku pada pertengahan Mei 2023, pelakon ancaman daripada APT35 melancarkan kempen pancingan data. Sasaran mereka ialah pakar keselamatan nuklear yang dikaitkan dengan kumpulan pemikir yang berpangkalan di AS yang memberi tumpuan kepada hal ehwal luar negara. Serangan itu melibatkan penghantaran e-mel menipu yang mengandungi pautan berniat jahat yang menyamar sebagai makro Skrip Google. Setelah diklik, pautan itu mengubah hala sasaran ke URL Dropbox yang menganjurkan arkib RAR.

APT35 Menggunakan Rantaian Serangan Berbeza untuk Mengkompromi Pengguna Apple dengan Perisian Hasad NokNok

Jika sasaran yang dipilih menggunakan peranti Apple, APT35 dilaporkan melaraskan kaedahnya dan melaksanakan taktik kedua. Ini melibatkan penghantaran e-mel kedua yang mengandungi arkib ZIP yang menggabungkan fail binari Mach-O. Fail itu menyamar sebagai aplikasi VPN, tetapi pada hakikatnya, ia berfungsi sebagai AppleScript. Apabila dilaksanakan, skrip ini mewujudkan sambungan dengan pelayan jauh untuk memulakan muat turun pintu belakang yang dipanggil NokNok.

Pintu belakang NokNok, apabila dipasang, mendapatkan semula sehingga empat modul yang mempunyai pelbagai keupayaan. Modul ini membolehkan pengumpulan maklumat seperti menjalankan proses, aplikasi yang dipasang dan metadata sistem. Selain itu, mereka memudahkan penubuhan kegigihan dalam sistem yang terjejas dengan menggunakan LaunchAgents.

Terutamanya, kefungsian modul ini mempunyai persamaan yang ketara dengan modul yang dikaitkan dengan POWERSTAR, alat yang dikenal pasti sebelum ini digunakan oleh APT35. Ini menunjukkan pertindihan yang ketara dalam keupayaan dan tujuan kedua-dua jenis perisian hasad. Tambahan pula, NokNok mempamerkan persamaan kod dengan perisian hasad macOS yang sebelum ini dikaitkan dengan kumpulan jenayah siber yang sama pada 2017.

Untuk meningkatkan lagi taktik mereka, penggodam juga menubuhkan laman web perkongsian fail penipuan. Laman web ini berkemungkinan berfungsi sebagai cara untuk cap jari pelawat, mengumpulkan maklumat tentang bakal mangsa, dan bertindak sebagai mekanisme penjejakan untuk memantau kejayaan serangan mereka.

Teknik penyesuaian yang digunakan oleh TA453 ini menunjukkan usaha berterusan mereka untuk menyasarkan pengguna Apple dan mengeksploitasi sistem mereka. Ia menekankan kepentingan mengekalkan amalan keselamatan yang kukuh, seperti mengemas kini perisian secara kerap, menggunakan penyelesaian antivirus yang boleh dipercayai dan berhati-hati apabila berinteraksi dengan lampiran e-mel atau memuat turun fail daripada sumber yang tidak dipercayai. Dengan sentiasa dimaklumkan tentang ancaman yang berkembang dan melaksanakan langkah keselamatan yang komprehensif, pengguna boleh melindungi diri mereka dengan lebih baik daripada aktiviti pelaku ancaman seperti APT35.