NokNok ਮੈਕ ਮਾਲਵੇਅਰ

ਇਰਾਨ ਤੋਂ APT35 ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਨੇਸ਼ਨ-ਸਟੇਟ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਐਕਟਰ ਨੂੰ ਵਿੰਡੋਜ਼ ਅਤੇ ਮੈਕੋਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੋਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੇ ਨਿਸ਼ਾਨਾ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲਹਿਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਦਾ ਉਦੇਸ਼ ਵਿਸ਼ੇਸ਼ ਮਾਲਵੇਅਰ ਟੂਲਸ ਨਾਲ ਸਿਸਟਮ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨਾ ਹੈ। APT35 ਹਮਲਿਆਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਿਆ ਹੈ ਕਿ ਹੈਕਰਾਂ ਨੇ ਇੱਕ ਵਿਲੱਖਣ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸਥਾਪਤ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਕਲਾਉਡ ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ।

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਦੋ ਪਹਿਲਾਂ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਨੂੰ ਵੀ ਨਿਯੁਕਤ ਕੀਤਾ ਸੀ। ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ, APT35 ਨੇ GorjolEcho ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਖੋਜੇ PowerShell ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਵਿਕਲਪਕ ਤੌਰ 'ਤੇ, ਜੇਕਰ ਪੀੜਤਾਂ ਨੂੰ ਐਪਲ ਡਿਵਾਈਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਪਾਇਆ ਗਿਆ, ਤਾਂ ਹੈਕਰਾਂ ਨੇ ਇੱਕ ਸੰਸ਼ੋਧਿਤ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਬਦਲ ਦਿੱਤਾ ਜਿਸ ਵਿੱਚ ਮੈਕ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਨੂੰ ਨੋਕ ਨੋਕ ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇਹ ਅਭਿਨੇਤਾ ਦੀਆਂ ਮੈਕੋਸ ਲਈ ਵਿਸ਼ੇਸ਼ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

APT35 ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਰੁੱਪ ਆਪਣੀ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਤਕਨੀਕਾਂ ਨੂੰ ਵਿਕਸਿਤ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ

APT35, ਜਿਸਨੂੰ ਚਾਰਮਿੰਗ ਕਿਟਨ, TA453, ਮਿੰਟ ਸੈਂਡਸਟੋਰਮ, ਅਤੇ ਯੈਲੋ ਗਰੁਡਾ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਇਰਾਨ ਦੇ ਇਸਲਾਮਿਕ ਰੈਵੋਲਿਊਸ਼ਨਰੀ ਗਾਰਡ ਕੋਰ (IRGC) ਨਾਲ ਸਬੰਧਾਂ ਵਾਲਾ ਇੱਕ ਪ੍ਰਮੁੱਖ ਖ਼ਤਰਾ ਸਮੂਹ ਹੈ। ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ 2011 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਵੱਖ-ਵੱਖ ਸਾਈਬਰ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੈ। ਜਾਸੂਸੀ ਗਤੀਵਿਧੀਆਂ ਦੇ ਉਹਨਾਂ ਦੇ ਨਿਰੰਤਰ ਪਿੱਛਾ ਵਿੱਚ, APT35 ਨੇ ਬਹੁ-ਵਿਅਕਤੀਗਤ ਰੂਪ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਚਾਲ ਚਲਾਈ, ਜਿਸ ਵਿੱਚ ਟੀਚਿਆਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਈ ਪਛਾਣਾਂ ਮੰਨਣ ਵਾਲੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ।

APT35 ਦੁਆਰਾ ਨਿਯੋਜਿਤ ਇਹ ਆਧੁਨਿਕ ਤਕਨੀਕਾਂ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸਾਈਬਰ ਜਾਸੂਸੀ ਕਾਰਵਾਈਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਉਨ੍ਹਾਂ ਦੇ ਚੱਲ ਰਹੇ ਯਤਨਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ। ਸਮੂਹ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਟੀਚਿਆਂ ਦੀ ਚੋਣ ਕਰਦਾ ਹੈ ਅਤੇ ਸਿਸਟਮਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਫਿਸ਼ਿੰਗ ਅਤੇ ਕਸਟਮ-ਬਿਲਟ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਵਰਗੀਆਂ ਵੱਖ-ਵੱਖ ਰਣਨੀਤੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। APT35 ਨੇ ਪਾਵਰਸ਼ੇਲ ਇਮਪਲਾਂਟ ਦੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੀ ਰਣਨੀਤੀ ਨੂੰ ਅੱਪਡੇਟ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ ਜਿਸਨੂੰ POWERSTAR ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ GhostEcho ਜਾਂ CharmPower ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਮਈ 2023 ਦੇ ਅੱਧ ਵਿੱਚ ਵਾਪਰੇ ਇੱਕ ਖਾਸ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਵਿੱਚ, APT35 ਤੋਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਇੱਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕੀਤੀ। ਉਨ੍ਹਾਂ ਦੇ ਨਿਸ਼ਾਨੇ 'ਤੇ ਵਿਦੇਸ਼ੀ ਮਾਮਲਿਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਵਾਲੇ ਅਮਰੀਕਾ ਸਥਿਤ ਥਿੰਕ ਟੈਂਕ ਨਾਲ ਜੁੜੇ ਪ੍ਰਮਾਣੂ ਸੁਰੱਖਿਆ ਮਾਹਰ ਸਨ। ਇਸ ਹਮਲੇ ਵਿੱਚ ਗੂਗਲ ਸਕ੍ਰਿਪਟ ਮੈਕਰੋ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ ਲਿੰਕ ਵਾਲੇ ਧੋਖੇਬਾਜ਼ ਈਮੇਲਾਂ ਨੂੰ ਭੇਜਣਾ ਸ਼ਾਮਲ ਸੀ। ਇੱਕ ਵਾਰ ਕਲਿੱਕ ਕਰਨ 'ਤੇ, ਲਿੰਕ ਨੇ ਟੀਚੇ ਨੂੰ ਇੱਕ RAR ਪੁਰਾਲੇਖ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਵਾਲੇ ਡ੍ਰੌਪਬਾਕਸ URL 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ।

APT35 ਨੇ ਨੋਕਨੋਕ ਮਾਲਵੇਅਰ ਨਾਲ ਐਪਲ ਉਪਭੋਗਤਾਵਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਅਟੈਕ ਚੇਨਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ

ਜੇਕਰ ਚੁਣਿਆ ਹੋਇਆ ਟੀਚਾ ਇੱਕ ਐਪਲ ਡਿਵਾਈਸ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ, ਤਾਂ APT35 ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਇਸਦੇ ਤਰੀਕਿਆਂ ਨੂੰ ਐਡਜਸਟ ਕੀਤਾ ਅਤੇ ਇੱਕ ਸੈਕੰਡਰੀ ਰਣਨੀਤੀ ਨੂੰ ਚਲਾਇਆ। ਇਸ ਵਿੱਚ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਵਾਲੀ ਦੂਜੀ ਈਮੇਲ ਭੇਜਣਾ ਸ਼ਾਮਲ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ Mach-O ਬਾਈਨਰੀ ਫਾਈਲ ਸ਼ਾਮਲ ਹੈ। ਫਾਈਲ ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ VPN ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਲਿਆ, ਪਰ ਅਸਲ ਵਿੱਚ, ਇਹ ਇੱਕ AppleScript ਦੇ ਰੂਪ ਵਿੱਚ ਕੰਮ ਕਰਦੀ ਸੀ। ਜਦੋਂ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਸਕ੍ਰਿਪਟ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦੀ ਹੈ ਜਿਸ ਨੂੰ NokNok ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

NokNok ਬੈਕਡੋਰ, ਇੰਸਟਾਲੇਸ਼ਨ 'ਤੇ, ਚਾਰ ਮੋਡੀਊਲ ਤੱਕ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਜੋ ਵੱਖ-ਵੱਖ ਸਮਰੱਥਾਵਾਂ ਰੱਖਦੇ ਹਨ। ਇਹ ਮੋਡੀਊਲ ਜਾਣਕਾਰੀ ਦੇ ਸੰਗ੍ਰਹਿ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ ਜਿਵੇਂ ਕਿ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਅਤੇ ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ LaunchAgents ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਸਥਿਰਤਾ ਦੀ ਸਥਾਪਨਾ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ।

ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਮੋਡੀਊਲਾਂ ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ POWERSTAR, APT35 ਦੁਆਰਾ ਨਿਯੋਜਿਤ ਇੱਕ ਪਹਿਲਾਂ ਪਛਾਣੇ ਗਏ ਟੂਲ ਨਾਲ ਜੁੜੇ ਮਾਡਿਊਲਾਂ ਨਾਲ ਇੱਕ ਸ਼ਾਨਦਾਰ ਸਮਾਨਤਾ ਹੈ। ਇਹ ਦੋ ਮਾਲਵੇਅਰ ਤਣਾਅ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਉਦੇਸ਼ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਓਵਰਲੈਪ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, NokNok macOS ਮਾਲਵੇਅਰ ਨਾਲ ਕੋਡ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜੋ ਪਹਿਲਾਂ 2017 ਵਿੱਚ ਉਸੇ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਸੀ।

ਆਪਣੀਆਂ ਚਾਲਾਂ ਨੂੰ ਹੋਰ ਵਧਾਉਣ ਲਈ, ਹੈਕਰਾਂ ਨੇ ਇੱਕ ਧੋਖਾਧੜੀ ਵਾਲੀ ਫਾਈਲ-ਸ਼ੇਅਰਿੰਗ ਵੈਬਸਾਈਟ ਵੀ ਸਥਾਪਿਤ ਕੀਤੀ। ਇਹ ਵੈਬਸਾਈਟ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਵਿਜ਼ਟਰਾਂ ਦੇ ਫਿੰਗਰਪ੍ਰਿੰਟ ਕਰਨ, ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਹਮਲਿਆਂ ਦੀ ਸਫਲਤਾ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਇੱਕ ਟਰੈਕਿੰਗ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ।

TA453 ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਇਹ ਅਨੁਕੂਲ ਤਕਨੀਕਾਂ ਐਪਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਉਹਨਾਂ ਦੇ ਚੱਲ ਰਹੇ ਯਤਨਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ। ਇਹ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਦੇ ਮਹੱਤਵ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨਾ, ਭਰੋਸੇਯੋਗ ਐਂਟੀਵਾਇਰਸ ਹੱਲਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਨਾ, ਅਤੇ ਈਮੇਲ ਅਟੈਚਮੈਂਟਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੇ ਸਮੇਂ ਸਾਵਧਾਨੀ ਵਰਤਣਾ ਜਾਂ ਅਵਿਸ਼ਵਾਸੀ ਸਰੋਤਾਂ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ। ਖਤਰਿਆਂ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਅਤੇ ਵਿਆਪਕ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਬਾਰੇ ਸੂਚਿਤ ਰਹਿਣ ਦੁਆਰਾ, ਉਪਭੋਗਤਾ APT35 ਵਰਗੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਤੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਬਿਹਤਰ ਢੰਗ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕਰ ਸਕਦੇ ਹਨ।