NokNok Mac-malware

De nationale cybercriminaliteit, geïdentificeerd als APT35 uit Iran, wordt in verband gebracht met een golf van gerichte spear-phishing-aanvallen die zowel Windows- als macOS-besturingssystemen treffen. Deze aanvallen zijn bedoeld om systemen te infiltreren met gespecialiseerde malwaretools. Uit analyse van de APT35- aanvallen bleek dat de hackers verschillende cloudhostingproviders in dienst hadden om een unieke infectieketen op te zetten.

De cybercriminelen maakten ook gebruik van twee voorheen onbekende malwarebedreigingen. Op Windows-systemen gebruikte APT35 een nieuw ontdekte PowerShell-achterdeur genaamd GorjolEcho. Als bleek dat de slachtoffers een Apple-apparaat gebruikten, schakelden de hackers over op een aangepaste infectieketen waarbij een Mac-malwarebedreiging betrokken was die werd gevolgd als NokNok.

Dit toont de pogingen van de acteur om misbruik te maken van kwetsbaarheden die specifiek zijn voor macOS.

De APT35 Cybercrime Group blijft zijn spear-phishing-technieken ontwikkelen

APT35, ook bekend als Charming Kitten, TA453, Mint Sandstorm en Yellow Garuda, is een prominente dreigingsgroep die banden heeft met de Iraanse Islamitische Revolutionaire Garde (IRGC). Deze groep is in ieder geval sinds 2011 actief en voert verschillende cyberoperaties uit die gericht zijn op individuen en organisaties. In hun niet-aflatende jacht op spionageactiviteiten, gebruikte APT35 een tactiek die bekend staat als multi-persona imitatie, waarbij de dreigingsactoren meerdere identiteiten aannemen om doelen te misleiden en ongeoorloofde toegang tot gevoelige informatie te krijgen.

Deze geavanceerde technieken die door APT35 worden gebruikt, benadrukken hun voortdurende inspanningen om gerichte cyberspionageoperaties uit te voeren. De groep selecteert strategisch spraakmakende doelwitten en past verschillende tactieken toe, zoals phishing en het gebruik van op maat gemaakte tools, om systemen te compromitteren en ongeoorloofde toegang tot gevoelige informatie te krijgen. Er is waargenomen dat APT35 zijn tactiek heeft bijgewerkt door een verbeterde versie van een PowerShell-implantaat te gebruiken dat bekend staat als POWERSTAR , ook wel GhostEcho of CharmPower genoemd.

In een specifieke aanvalsreeks die medio mei 2023 plaatsvond, lanceerden de dreigingsactoren van APT35 een phishing-campagne. Hun doelwit was een expert op het gebied van nucleaire veiligheid die verbonden was aan een in de VS gevestigde denktank die zich bezighield met buitenlandse zaken. De aanval omvatte het verzenden van misleidende e-mails met daarin een kwaadaardige link vermomd als een Google Script-macro. Eenmaal aangeklikt, leidde de link het doel om naar een Dropbox-URL die een RAR-archief host.

De APT35 gebruikte verschillende aanvalsketens om Apple-gebruikers te compromitteren met de NokNok-malware

Als het gekozen doelwit een Apple-apparaat gebruikt, heeft APT35 naar verluidt zijn methoden aangepast en een secundaire tactiek uitgevoerd. Dit omvatte het verzenden van een tweede e-mail met een ZIP-archief waarin een binair Mach-O-bestand was opgenomen. Het bestand vermomde zich als een VPN-applicatie, maar in werkelijkheid functioneerde het als een AppleScript. Wanneer dit script wordt uitgevoerd, brengt het een verbinding tot stand met een externe server om de download van een backdoor genaamd NokNok te starten.

De NokNok-achterdeur haalt bij installatie maximaal vier modules op die verschillende mogelijkheden hebben. Deze modules maken het verzamelen van informatie mogelijk, zoals lopende processen, geïnstalleerde applicaties en systeemmetadata. Bovendien vergemakkelijken ze het tot stand brengen van persistentie binnen het gecompromitteerde systeem door gebruik te maken van LaunchAgents.

Met name de functionaliteit van deze modules vertoont een opvallende gelijkenis met de modules die geassocieerd zijn met POWERSTAR, een eerder geïdentificeerde tool die door APT35 wordt gebruikt. Dit duidt op een aanzienlijke overlap in de mogelijkheden en het doel van de twee malwarestammen. Bovendien vertoont NokNok code-overeenkomsten met macOS-malware die eerder in 2017 aan dezelfde cybercriminaliteitsgroep werd toegeschreven.

Om hun tactiek verder te verbeteren, hebben de hackers ook een frauduleuze website voor het delen van bestanden opgezet. Deze website dient waarschijnlijk als een manier om vingerafdrukken van bezoekers te nemen, informatie over potentiële slachtoffers te verzamelen en als volgmechanisme te fungeren om het succes van hun aanvallen te volgen.

Deze adaptieve technieken die door TA453 worden gebruikt, tonen hun voortdurende inspanningen om zich op Apple-gebruikers te richten en hun systemen te exploiteren. Het onderstreept het belang van het handhaven van sterke beveiligingspraktijken, zoals het regelmatig updaten van software, het gebruik van betrouwbare antivirusoplossingen en het betrachten van voorzichtigheid bij het omgaan met e-mailbijlagen of het downloaden van bestanden van niet-vertrouwde bronnen. Door op de hoogte te blijven van evoluerende bedreigingen en uitgebreide beveiligingsmaatregelen te implementeren, kunnen gebruikers zichzelf beter beschermen tegen de activiteiten van bedreigingsactoren zoals APT35.