NokNok Mac zlonamerna programska oprema

Nacionalni akter kibernetskega kriminala, identificiran kot APT35 iz Irana, je bil povezan z valom ciljno usmerjenih napadov lažnega predstavljanja, ki prizadenejo operacijska sistema Windows in macOS. Namen teh napadov je infiltracija v sisteme s posebnimi orodji zlonamerne programske opreme. Analiza napadov APT35 je pokazala, da so hekerji uporabili različne ponudnike gostovanja v oblaku, da bi vzpostavili edinstveno verigo okužb.

Kibernetski kriminalci so uporabili tudi dve prej neznani grožnji zlonamerne programske opreme. V sistemih Windows je APT35 uporabil na novo odkrita stranska vrata PowerShell z imenom GorjolEcho. Če pa je bilo ugotovljeno, da žrtve uporabljajo napravo Apple, so hekerji preklopili na spremenjeno verigo okužb, ki je vključevala grožnjo zlonamerne programske opreme Mac, ki je bila sledena kot NokNok.

To prikazuje igralčeve poskuse izkoriščanja ranljivosti, značilne za macOS.

Skupina za kibernetski kriminal APT35 še naprej razvija svoje tehnike lažnega predstavljanja

APT35, znan tudi kot Charming Kitten, TA453, Mint Sandstorm in Yellow Garuda, je vidna skupina groženj, povezana z iransko Korpusom islamske revolucionarne garde (IRGC). Ta skupina je aktivna vsaj od leta 2011 in se ukvarja z različnimi kibernetskimi operacijami, usmerjenimi proti posameznikom in organizacijam. V svojem neusmiljenem zasledovanju vohunskih dejavnosti je APT35 uporabil taktiko, znano kot lažno predstavljanje več oseb, ki vključuje akterje groženj, ki prevzamejo več identitet, da zavedejo tarče in pridobijo nepooblaščen dostop do občutljivih informacij.

Te sofisticirane tehnike, ki jih uporablja APT35, poudarjajo njihova nenehna prizadevanja za izvajanje ciljno usmerjenih operacij kibernetskega vohunjenja. Skupina strateško izbira pomembne tarče in uporablja različne taktike, kot sta lažno predstavljanje in uporaba orodij, izdelanih po meri, za ogrožanje sistemov in pridobitev nepooblaščenega dostopa do občutljivih informacij. Opazili so, da je APT35 posodobil svojo taktiko z uporabo izboljšane različice vsadka PowerShell, znanega kot POWERSTAR , imenovanega tudi GhostEcho ali CharmPower.

V določenem zaporedju napadov, ki se je zgodil sredi maja 2023, so akterji groženj iz APT35 sprožili lažno predstavljanje. Njihova tarča je bil strokovnjak za jedrsko varnost, povezan z možganskim trustom s sedežem v ZDA, ki se osredotoča na zunanje zadeve. Napad je vključeval pošiljanje zavajajočih e-poštnih sporočil z zlonamerno povezavo, prikrito kot makro Google Script. Po kliku je povezava preusmerila cilj na Dropbox URL, ki gosti arhiv RAR.

APT35 je uporabil različne verige napadov, da bi uporabnike Apple ogrozil z zlonamerno programsko opremo NokNok

Če izbrana tarča uporablja napravo Apple, naj bi APT35 prilagodil svoje metode in izvedel sekundarno taktiko. To je vključevalo pošiljanje drugega e-poštnega sporočila z arhivom ZIP, ki je vseboval binarno datoteko Mach-O. Datoteka se je preoblekla v aplikacijo VPN, v resnici pa je delovala kot AppleScript. Ko se izvede, ta skript vzpostavi povezavo z oddaljenim strežnikom, da sproži prenos stranskih vrat, imenovanih NokNok.

Zadnja vrata NokNok po namestitvi pridobijo do štiri module z različnimi zmogljivostmi. Ti moduli omogočajo zbiranje informacij, kot so tekoči procesi, nameščene aplikacije in sistemski metapodatki. Poleg tega olajšajo vzpostavitev obstojnosti v ogroženem sistemu z uporabo LaunchAgents.

Predvsem funkcionalnost teh modulov je presenetljivo podobna modulom, povezanim s POWERSTAR, predhodno identificiranim orodjem, ki ga uporablja APT35. To kaže na znatno prekrivanje zmožnosti in namena obeh različic zlonamerne programske opreme. Poleg tega ima NokNok podobnost kode z zlonamerno programsko opremo macOS, ki je bila prej pripisana isti skupini kibernetskega kriminala leta 2017.

Da bi še izboljšali svojo taktiko, so hekerji vzpostavili tudi goljufivo spletno mesto za izmenjavo datotek. To spletno mesto verjetno služi kot način za zbiranje prstnih odtisov obiskovalcev, zbiranje informacij o morebitnih žrtvah in deluje kot sledilni mehanizem za spremljanje uspeha njihovih napadov.

Te prilagodljive tehnike, ki jih uporablja TA453, dokazujejo njihova nenehna prizadevanja za ciljanje na uporabnike Apple in izkoriščanje njihovih sistemov. Poudarja pomen vzdrževanja strogih varnostnih praks, kot je redno posodabljanje programske opreme, uporaba zanesljivih protivirusnih rešitev in previdnost pri interakciji s prilogami e-pošte ali prenašanju datotek iz nezaupljivih virov. Če so obveščeni o razvijajočih se grožnjah in izvajajo obsežne varnostne ukrepe, se lahko uporabniki bolje zaščitijo pred dejavnostmi akterjev groženj, kot je APT35.