Złośliwe oprogramowanie NokNok Mac

Państwo narodowe, cyberprzestępca zidentyfikowany jako APT35 z Iranu, został powiązany z falą ukierunkowanych ataków typu spear phishing, które miały wpływ zarówno na systemy operacyjne Windows, jak i macOS. Ataki te mają na celu infiltrację systemów za pomocą wyspecjalizowanych narzędzi złośliwego oprogramowania. Analiza ataków APT35 ujawniła, że hakerzy zatrudnili różnych dostawców hostingu w chmurze w celu ustanowienia unikalnego łańcucha infekcji.

Cyberprzestępcy wykorzystali również dwa nieznane wcześniej złośliwe oprogramowanie. W systemach Windows APT35 wykorzystywał nowo wykryty backdoor PowerShell o nazwie GorjolEcho. Alternatywnie, jeśli okaże się, że ofiary korzystały z urządzenia Apple, hakerzy przełączyli się na zmodyfikowany łańcuch infekcji, który obejmował zagrożenie złośliwym oprogramowaniem dla komputerów Mac śledzone jako NokNok.

Pokazuje to próby aktora wykorzystania luk specyficznych dla systemu macOS.

Grupa APT35 ds. cyberprzestępczości nadal rozwija swoje techniki spear-phishingu

APT35, znany również jako Charming Kitten, TA453, Mint Sandstorm i Yellow Garuda, jest znaczącą grupą zagrożeń powiązaną z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC). Grupa ta działa co najmniej od 2011 roku, angażując się w różne cyberoperacje wymierzone w osoby i organizacje. W swojej nieustannej pogoni za działaniami szpiegowskimi APT35 zastosował taktykę zwaną podszywaniem się pod wiele osób, która polega na tym, że cyberprzestępcy przyjmują wiele tożsamości w celu oszukania celów i uzyskania nieautoryzowanego dostępu do poufnych informacji.

Te wyrafinowane techniki stosowane przez APT35 podkreślają ich nieustanne wysiłki na rzecz przeprowadzania ukierunkowanych operacji cyberszpiegowskich. Grupa strategicznie wybiera głośne cele i stosuje różne taktyki, takie jak phishing i wykorzystanie niestandardowych narzędzi, aby złamać zabezpieczenia systemów i uzyskać nieautoryzowany dostęp do poufnych informacji. Zaobserwowano, że APT35 zaktualizował swoją taktykę, wykorzystując ulepszoną wersję implantu PowerShell znanego jako POWERSTAR , określanego również jako GhostEcho lub CharmPower.

W określonej sekwencji ataków, która miała miejsce w połowie maja 2023 r., cyberprzestępcy z grupy APT35 rozpoczęli kampanię phishingową. Ich celem był ekspert ds. bezpieczeństwa jądrowego związany z amerykańskim think tankiem zajmującym się sprawami zagranicznymi. Atak polegał na wysyłaniu oszukańczych wiadomości e-mail zawierających złośliwy link udający makro Google Script. Po kliknięciu link przekierowywał cel do adresu URL Dropbox, na którym znajduje się archiwum RAR.

APT35 wykorzystywał różne łańcuchy ataków, aby narażać użytkowników Apple za pomocą złośliwego oprogramowania NokNok

Jeśli wybrany cel wykorzystuje urządzenie Apple, APT35 podobno dostosował swoje metody i zastosował drugorzędną taktykę. Wiązało się to z wysłaniem drugiego e-maila zawierającego archiwum ZIP, które zawierało plik binarny Mach-O. Plik przebrał się za aplikację VPN, ale w rzeczywistości działał jako AppleScript. Po wykonaniu ten skrypt ustanawia połączenie ze zdalnym serwerem w celu zainicjowania pobierania backdoora o nazwie NokNok.

Backdoor NokNok po instalacji pobiera do czterech modułów posiadających różne możliwości. Moduły te umożliwiają zbieranie informacji, takich jak uruchomione procesy, zainstalowane aplikacje i metadane systemowe. Dodatkowo ułatwiają ustanowienie trwałości w zaatakowanym systemie poprzez wykorzystanie LaunchAgents.

Warto zauważyć, że funkcjonalność tych modułów jest uderzająco podobna do modułów związanych z POWERSTAR, wcześniej zidentyfikowanym narzędziem wykorzystywanym przez APT35. Wskazuje to na znaczne nakładanie się możliwości i celów tych dwóch szczepów złośliwego oprogramowania. Co więcej, NokNok wykazuje podobieństwa w kodzie ze złośliwym oprogramowaniem macOS, które wcześniej było przypisywane tej samej grupie cyberprzestępczej w 2017 roku.

Aby jeszcze bardziej udoskonalić swoją taktykę, hakerzy utworzyli również oszukańczą witrynę umożliwiającą udostępnianie plików. Ta witryna prawdopodobnie służy do pobierania odcisków palców odwiedzających, zbierania informacji o potencjalnych ofiarach i działania jako mechanizm śledzenia w celu monitorowania powodzenia ich ataków.

Te techniki adaptacyjne zastosowane przez TA453 pokazują ich nieustanne wysiłki mające na celu atakowanie użytkowników Apple i wykorzystywanie ich systemów. Podkreśla znaczenie utrzymywania silnych praktyk bezpieczeństwa, takich jak regularne aktualizowanie oprogramowania, stosowanie niezawodnych rozwiązań antywirusowych i zachowanie ostrożności podczas interakcji z załącznikami do wiadomości e-mail lub pobierania plików z niezaufanych źródeł. Będąc na bieżąco informowanym o zmieniających się zagrożeniach i wdrażając kompleksowe środki bezpieczeństwa, użytkownicy mogą lepiej chronić się przed działaniami cyberprzestępców, takich jak APT35.