Škodlivý softvér NokNok Mac

Národný aktér počítačovej kriminality identifikovaný ako APT35 z Iránu bol spájaný s vlnou cielených spear-phishingových útokov ovplyvňujúcich operačné systémy Windows aj macOS. Cieľom týchto útokov je infiltrovať systémy pomocou špecializovaných malvérových nástrojov. Analýza útokov APT35 odhalila, že hackeri využili rôznych poskytovateľov cloudového hostingu na vytvorenie jedinečného infekčného reťazca.

Kyberzločinci tiež použili dve predtým neznáme hrozby škodlivého softvéru. V systémoch Windows využíval APT35 novoobjavený backdoor PowerShell s názvom GorjolEcho. Prípadne, ak sa zistilo, že obete používajú zariadenie Apple, hackeri prešli na upravený reťazec infekcií, ktorý zahŕňal hrozbu škodlivého softvéru Mac sledovanú ako NokNok.

Toto ukazuje pokusy herca využiť zraniteľnosti špecifické pre macOS.

Skupina APT35 Cybercrime Group pokračuje vo vývoji svojich techník spear-phishingu

APT35, tiež známy ako Charming Kitten, TA453, Mint Sandstorm a Yellow Garuda, je prominentnou hrozivou skupinou s väzbami na iránske Islamské revolučné gardy (IRGC). Táto skupina je aktívna minimálne od roku 2011 a zapája sa do rôznych kybernetických operácií zameraných na jednotlivcov a organizácie. Pri ich neúnavnom prenasledovaní špionážnych aktivít APT35 použil taktiku známu ako zosobnenie viacerých osôb, ktorá zahŕňa aktérov hrozby, ktorí prevezmú viacero identít, aby oklamali ciele a získali neoprávnený prístup k citlivým informáciám.

Tieto sofistikované techniky používané spoločnosťou APT35 zdôrazňujú ich pokračujúce úsilie o vykonávanie cielených operácií kybernetickej špionáže. Skupina strategicky vyberá ciele s vysokým profilom a využíva rôzne taktiky, ako je phishing a používanie nástrojov vytvorených na mieru, aby kompromitovala systémy a získala neoprávnený prístup k citlivým informáciám. Bolo pozorované, že APT35 aktualizoval svoju taktiku použitím vylepšenej verzie implantátu PowerShell známeho ako POWERSTAR , tiež označovaného ako GhostEcho alebo CharmPower.

V špecifickej sekvencii útokov, ku ktorej došlo v polovici mája 2023, spustili aktéri hrozby z APT35 phishingovú kampaň. Ich cieľom bol expert na jadrovú bezpečnosť spojený s americkým think tankom zameraným na zahraničné veci. Útok zahŕňal odosielanie klamlivých e-mailov obsahujúcich škodlivý odkaz maskovaný ako makro Google Script. Po kliknutí odkaz presmeroval cieľ na adresu URL Dropbox, na ktorej sa nachádza archív RAR.

APT35 použil rôzne reťazce útokov, aby kompromitoval používateľov Apple s malvérom NokNok

Ak vybraný cieľ využíva zariadenie Apple, APT35 údajne upravil svoje metódy a vykonal sekundárnu taktiku. To zahŕňalo odoslanie druhého e-mailu obsahujúceho archív ZIP, ktorý obsahoval binárny súbor Mach-O. Súbor sa maskoval ako aplikácia VPN, ale v skutočnosti fungoval ako AppleScript. Po spustení tento skript vytvorí spojenie so vzdialeným serverom, aby sa iniciovalo sťahovanie backdoor s názvom NokNok.

Zadné vrátka NokNok po inštalácii získajú až štyri moduly, ktoré majú rôzne schopnosti. Tieto moduly umožňujú zhromažďovanie informácií, ako sú bežiace procesy, nainštalované aplikácie a systémové metadáta. Okrem toho uľahčujú vytvorenie perzistencie v napadnutom systéme pomocou LaunchAgents.

Funkčnosť týchto modulov sa nápadne podobá modulom spojeným s POWERSTAR, predtým identifikovaným nástrojom používaným APT35. To naznačuje významné prekrývanie schopností a účelu týchto dvoch kmeňov malvéru. Okrem toho NokNok vykazuje podobnosť kódu s malvérom macOS, ktorý bol predtým pripisovaný rovnakej skupine počítačovej kriminality v roku 2017.

Aby ešte viac vylepšili svoju taktiku, hackeri tiež založili podvodnú webovú stránku na zdieľanie súborov. Táto webová stránka pravdepodobne slúži ako spôsob, ako návštevníkom odobrať odtlačky prstov, získať informácie o potenciálnych obetiach a pôsobiť ako sledovací mechanizmus na monitorovanie úspešnosti ich útokov.

Tieto adaptívne techniky používané TA453 demonštrujú ich pokračujúce úsilie zamerať sa na používateľov Apple a využívať ich systémy. Zdôrazňuje dôležitosť dodržiavania prísnych bezpečnostných postupov, ako je pravidelná aktualizácia softvéru, používanie spoľahlivých antivírusových riešení a opatrnosť pri interakcii s prílohami e-mailov alebo sťahovaní súborov z nedôveryhodných zdrojov. Vďaka informovanosti o vyvíjajúcich sa hrozbách a implementácii komplexných bezpečnostných opatrení sa používatelia môžu lepšie chrániť pred aktivitami aktérov hrozieb, ako je APT35.