Вредоносное ПО NokNok для Mac

Национальный государственный киберпреступник, идентифицированный как APT35 из Ирана, был связан с волной целенаправленных фишинговых атак, затрагивающих операционные системы Windows и macOS. Эти атаки направлены на проникновение в системы с помощью специализированных вредоносных инструментов. Анализ атак APT35 показал, что хакеры использовали различных провайдеров облачного хостинга для создания уникальной цепочки заражения.

Киберпреступники также использовали две ранее неизвестные вредоносные программы. В системах Windows APT35 использовал недавно обнаруженный бэкдор PowerShell под названием GorjolEcho. В качестве альтернативы, если было обнаружено, что жертвы используют устройства Apple, хакеры переключались на модифицированную цепочку заражения, которая включала угрозу вредоносного ПО для Mac, отслеживаемую как NokNok.

Это показывает попытки актера использовать уязвимости, характерные для macOS.

Группа киберпреступников APT35 продолжает развивать свои методы целевого фишинга

APT35, также известная как Charming Kitten, TA453, Mint Sandstorm и Yellow Garuda, представляет собой известную группу угроз, связанную с иранским Корпусом стражей исламской революции (КСИР). Эта группа действует как минимум с 2011 года, участвуя в различных кибероперациях, направленных против отдельных лиц и организаций. В своем неустанном стремлении к шпионской деятельности APT35 применила тактику, известную как выдача себя за нескольких лиц, в которой злоумышленники используют несколько личностей, чтобы обмануть цели и получить несанкционированный доступ к конфиденциальной информации.

Эти сложные методы, используемые APT35, подчеркивают их постоянные усилия по проведению целевых операций кибершпионажа. Группа стратегически выбирает высокопоставленные цели и использует различные тактики, такие как фишинг и использование специально разработанных инструментов, для компрометации систем и получения несанкционированного доступа к конфиденциальной информации. Было замечено, что APT35 обновил свою тактику, используя улучшенную версию имплантата PowerShell, известную как POWERSTAR , также называемую GhostEcho или CharmPower.

В ходе конкретной атаки, которая произошла в середине мая 2023 года, злоумышленники из APT35 запустили фишинговую кампанию. Их целью был эксперт по ядерной безопасности, связанный с базирующимся в США аналитическим центром, специализирующимся на международных делах. Атака заключалась в отправке вводящих в заблуждение электронных писем, содержащих вредоносную ссылку, замаскированную под макрос Google Script. После нажатия ссылка перенаправляла цель на URL-адрес Dropbox, на котором размещен архив RAR.

APT35 использовал различные цепочки атак для компрометации пользователей Apple с помощью вредоносного ПО NokNok

Сообщается, что если выбранная цель использует устройство Apple, APT35 скорректировала свои методы и применила второстепенную тактику. Это включало отправку второго электронного письма, содержащего ZIP-архив, в который был включен двоичный файл Mach-O. Файл маскировался под VPN-приложение, но на самом деле функционировал как AppleScript. При выполнении этот скрипт устанавливает соединение с удаленным сервером, чтобы инициировать загрузку бэкдора под названием NokNok.

Бэкдор NokNok при установке извлекает до четырех модулей, обладающих различными возможностями. Эти модули позволяют собирать такую информацию, как запущенные процессы, установленные приложения и системные метаданные. Кроме того, они облегчают создание постоянства в скомпрометированной системе за счет использования LaunchAgents.

Примечательно, что функциональность этих модулей имеет поразительное сходство с модулями, связанными с POWERSTAR, ранее идентифицированным инструментом, используемым APT35. Это указывает на значительное совпадение возможностей и целей двух штаммов вредоносных программ. Кроме того, NokNok демонстрирует сходство кода с вредоносным ПО для macOS, которое ранее приписывалось той же группе киберпреступников в 2017 году.

Чтобы еще больше усовершенствовать свою тактику, хакеры также создали мошеннический веб-сайт для обмена файлами. Этот веб-сайт, вероятно, служит способом снятия отпечатков пальцев посетителей, сбора информации о потенциальных жертвах и действует как механизм отслеживания для отслеживания успеха их атак.

Эти адаптивные методы, используемые TA453, демонстрируют их постоянные усилия по нацеливанию на пользователей Apple и использованию их систем. В нем подчеркивается важность применения надежных методов обеспечения безопасности, таких как регулярное обновление программного обеспечения, использование надежных антивирусных решений и соблюдение осторожности при работе с вложениями электронной почты или загрузке файлов из ненадежных источников. Получая информацию о развивающихся угрозах и применяя комплексные меры безопасности, пользователи могут лучше защитить себя от действий злоумышленников, таких как APT35.