NokNok Mac Malware

Den nasjonalstatlige cyberkriminalitetsaktøren identifisert som APT35 fra Iran har blitt assosiert med en bølge av målrettede spyd-phishing-angrep som påvirker både Windows- og macOS-operativsystemer. Disse angrepene tar sikte på å infiltrere systemer med spesialiserte skadevareverktøy. Analyse av APT35- angrepene avslørte at hackerne benyttet ulike nettskyvertsleverandører for å etablere en unik infeksjonskjede.

Nettkriminelle brukte også to tidligere ukjente trusler mot skadelig programvare. På Windows-systemer brukte APT35 en nyoppdaget PowerShell-bakdør kalt GorjolEcho. Alternativt, hvis ofrene ble funnet å bruke en Apple-enhet, byttet hackerne til en modifisert infeksjonskjede som involverte en malware-trussel på Mac sporet som NokNok.

Dette viser skuespillerens forsøk på å utnytte sårbarheter som er spesifikke for macOS.

APT35 Cybercrime Group fortsetter å utvikle sine spyd-phishing-teknikker

APT35, også kjent som Charming Kitten, TA453, Mint Sandstorm og Yellow Garuda, er en fremtredende trusselgruppe med bånd til Irans Islamic Revolutionary Guard Corps (IRGC). Denne gruppen har vært aktiv siden minst 2011, og engasjert seg i ulike cyberoperasjoner rettet mot enkeltpersoner og organisasjoner. I deres nådeløse jakt på spionasjeaktiviteter, benyttet APT35 en taktikk kjent som multi-persona-etterligning, som innebærer at trusselaktørene antar flere identiteter for å lure mål og få uautorisert tilgang til sensitiv informasjon.

Disse sofistikerte teknikkene brukt av APT35 fremhever deres pågående innsats for å utføre målrettede cyberspionasjeoperasjoner. Gruppen velger strategisk høyprofilerte mål og bruker ulike taktikker, som phishing og bruk av spesialbygde verktøy, for å kompromittere systemer og få uautorisert tilgang til sensitiv informasjon. APT35 har blitt observert å ha oppdatert taktikken ved å bruke en forbedret versjon av et PowerShell-implantat kjent som POWERSTAR , også referert til som GhostEcho eller CharmPower.

I en spesifikk angrepssekvens som fant sted i midten av mai 2023, startet trusselaktørene fra APT35 en phishing-kampanje. Målet deres var en atomsikkerhetsekspert tilknyttet en USA-basert tenketank med fokus på utenrikssaker. Angrepet innebar sending av villedende e-poster som inneholdt en ondsinnet lenke forkledd som en Google Script-makro. Når den ble klikket, omdirigerte koblingen målet til en Dropbox-URL som er vert for et RAR-arkiv.

APT35 brukte forskjellige angrepskjeder for å kompromittere Apple-brukere med NokNok Malware

Hvis det valgte målet bruker en Apple-enhet, har APT35 angivelig justert metodene og utført en sekundær taktikk. Dette innebar å sende en ny e-post som inneholdt et ZIP-arkiv som inneholdt en Mach-O binær fil. Filen forkledde seg som en VPN-applikasjon, men i virkeligheten fungerte den som et AppleScript. Når det kjøres, oppretter dette skriptet en forbindelse med en ekstern server for å starte nedlastingen av en bakdør kalt NokNok.

NokNok-bakdøren, ved installasjon, henter opptil fire moduler som har ulike funksjoner. Disse modulene muliggjør innsamling av informasjon som kjørende prosesser, installerte applikasjoner og systemmetadata. I tillegg letter de etableringen av utholdenhet i det kompromitterte systemet ved å bruke LaunchAgents.

Spesielt har funksjonaliteten til disse modulene en slående likhet med modulene knyttet til POWERSTAR, et tidligere identifisert verktøy brukt av APT35. Dette indikerer en betydelig overlapping i egenskapene og formålet til de to skadevarestammene. Videre viser NokNok kodelikheter med macOS malware som tidligere ble tilskrevet den samme nettkriminalitetsgruppen i 2017.

For å forbedre taktikken ytterligere, etablerte hackerne også et uredelig fildelingsnettsted. Dette nettstedet fungerer sannsynligvis som en måte å fingeravtrykke besøkende på, samle informasjon om potensielle ofre og fungere som en sporingsmekanisme for å overvåke suksessen til angrepene deres.

Disse adaptive teknikkene brukt av TA453 viser deres pågående innsats for å målrette Apple-brukere og utnytte systemene deres. Det understreker viktigheten av å opprettholde sterk sikkerhetspraksis, for eksempel å oppdatere programvare regelmessig, bruke pålitelige antivirusløsninger og utvise forsiktighet når du samhandler med e-postvedlegg eller laster ned filer fra upålitelige kilder. Ved å holde seg informert om nye trusler og implementere omfattende sikkerhetstiltak, kan brukere bedre beskytte seg mot aktivitetene til trusselaktører som APT35.