NokNok Mac Malware

Actorul criminalității cibernetice de stat național identificat ca APT35 din Iran a fost asociat cu un val de atacuri de tip spear-phishing care afectează atât sistemele de operare Windows, cât și macOS. Aceste atacuri urmăresc infiltrarea sistemelor cu instrumente specializate malware. Analiza atacurilor APT35 a arătat că hackerii au folosit diverși furnizori de găzduire în cloud pentru a stabili un lanț unic de infecție.

Infractorii cibernetici au folosit și două amenințări malware necunoscute anterior. Pe sistemele Windows, APT35 a folosit o ușă din spate PowerShell recent descoperită, numită GorjolEcho. Alternativ, dacă s-a descoperit că victimele foloseau un dispozitiv Apple, hackerii au trecut la un lanț de infecție modificat care implica o amenințare malware Mac urmărită ca NokNok.

Aceasta arată încercările actorului de a exploata vulnerabilitățile specifice macOS.

Grupul APT35 Cybercrime continuă să-și evolueze tehnicile de spear-phishing

APT35, cunoscut și sub numele de Pisicuță fermecătoare, TA453, Mint Sandstorm și Yellow Garuda, este un grup de amenințare proeminent, cu legături cu Corpul Gărzilor Revoluționare Islamice (IRGC) din Iran. Acest grup este activ din cel puțin 2011, angajându-se în diverse operațiuni cibernetice care vizează indivizi și organizații. În urmărirea necruțătoare a activităților de spionaj, APT35 a folosit o tactică cunoscută sub numele de uzurpare a mai multor persoane, care implică actorii amenințărilor care își asumă identități multiple pentru a înșela ținte și pentru a obține acces neautorizat la informații sensibile.

Aceste tehnici sofisticate folosite de APT35 evidențiază eforturile lor continue de a efectua operațiuni de spionaj cibernetic țintite. Grupul selectează strategic ținte de profil înalt și folosește diverse tactici, cum ar fi phishingul și utilizarea instrumentelor personalizate, pentru a compromite sistemele și a obține acces neautorizat la informații sensibile. S-a observat că APT35 și-a actualizat tactica prin utilizarea unei versiuni îmbunătățite a unui implant PowerShell cunoscut sub numele de POWERSTAR , denumit și GhostEcho sau CharmPower.

Într-o anumită secvență de atac care a avut loc la mijlocul lui mai 2023, actorii amenințărilor de la APT35 au lansat o campanie de phishing. Ținta lor a fost un expert în securitate nucleară asociat cu un think tank din SUA care se concentrează pe afaceri externe. Atacul a presupus trimiterea de e-mailuri înșelătoare care conțineau un link rău intenționat deghizat în macrocomandă Google Script. Odată dat clic, linkul a redirecționat ținta către o adresă URL Dropbox care găzduiește o arhivă RAR.

APT35 a folosit diferite lanțuri de atac pentru a compromite utilizatorii Apple cu programul malware NokNok

Dacă ținta aleasă folosește un dispozitiv Apple, se pare că APT35 și-a ajustat metodele și a executat o tactică secundară. Aceasta a implicat trimiterea unui al doilea e-mail care conținea o arhivă ZIP care includea un fișier binar Mach-O. Fișierul s-a deghizat într-o aplicație VPN, dar, în realitate, a funcționat ca un AppleScript. Când este executat, acest script stabilește o conexiune cu un server de la distanță pentru a iniția descărcarea unei uși din spate numită NokNok.

Ușa din spate NokNok, la instalare, preia până la patru module care posedă diferite capacități. Aceste module permit colectarea de informații, cum ar fi procesele care rulează, aplicațiile instalate și metadatele sistemului. În plus, facilitează stabilirea persistenței în cadrul sistemului compromis prin utilizarea LaunchAgents.

În special, funcționalitatea acestor module seamănă izbitor cu modulele asociate cu POWERSTAR, un instrument identificat anterior, folosit de APT35. Acest lucru indică o suprapunere semnificativă a capacităților și scopului celor două tulpini de malware. Mai mult, NokNok prezintă asemănări de cod cu malware-ul macOS care a fost anterior atribuit aceluiași grup de criminalitate cibernetică în 2017.

Pentru a-și îmbunătăți și mai mult tacticile, hackerii au creat și un site web fraudulos de partajare a fișierelor. Acest site web servește probabil ca o modalitate de a da amprenta vizitatorilor, de a colecta informații despre potențialele victime și de a acționa ca un mecanism de urmărire pentru a monitoriza succesul atacurilor lor.

Aceste tehnici adaptative folosite de TA453 demonstrează eforturile lor continue de a viza utilizatorii Apple și de a le exploata sistemele. Subliniază importanța menținerii unor practici de securitate puternice, cum ar fi actualizarea regulată a software-ului, folosirea de soluții antivirus fiabile și precauția atunci când interacționați cu atașamentele de e-mail sau descărcați fișiere din surse nesigure. Rămânând la curent cu evoluția amenințărilor și implementând măsuri de securitate cuprinzătoare, utilizatorii se pot proteja mai bine împotriva activităților actorilor de amenințări precum APT35.