Malware NokNok Mac

Aktori i krimit kibernetik të shtetit-komb, i identifikuar si APT35 nga Irani, është shoqëruar me një valë sulmesh të synuara spear-phishing që prekin si sistemet operative Windows ashtu edhe macOS. Këto sulme synojnë të depërtojnë sisteme me mjete të specializuara malware. Analiza e sulmeve APT35 zbuloi se hakerët punësuan ofrues të ndryshëm të pritjes së cloud për të krijuar një zinxhir unik infeksioni.

Kriminelët kibernetikë përdorën gjithashtu dy kërcënime malware të panjohura më parë. Në sistemet Windows, APT35 përdori një derë të pasme të sapo zbuluar të PowerShell të quajtur GorjolEcho. Përndryshe, nëse viktimat zbulohej se përdornin një pajisje Apple, hakerët kaluan në një zinxhir infeksioni të modifikuar që përfshinte një kërcënim malware Mac të gjurmuar si NokNok.

Kjo tregon përpjekjet e aktorit për të shfrytëzuar dobësitë specifike për macOS.

Grupi i krimit kibernetik APT35 vazhdon të zhvillojë teknikat e tij të mashtrimit me shtiza

APT35, i njohur gjithashtu si Charming Kitten, TA453, Mint Sandstorm dhe Yellow Garuda, është një grup i shquar kërcënimi me lidhje me Korpusin e Gardës Revolucionare Islamike të Iranit (IRGC). Ky grup ka qenë aktiv të paktën që nga viti 2011, duke u angazhuar në operacione të ndryshme kibernetike që synojnë individë dhe organizata. Në ndjekjen e tyre të pamëshirshme të aktiviteteve të spiunazhit, APT35 përdori një taktikë të njohur si imitimi me shumë persona, e cila përfshin aktorët e kërcënimit që supozojnë identitete të shumta për të mashtruar objektivat dhe për të fituar akses të paautorizuar në informacione të ndjeshme.

Këto teknika të sofistikuara të përdorura nga APT35 nxjerrin në pah përpjekjet e tyre të vazhdueshme për të kryer operacione të synuara të spiunazhit kibernetik. Grupi zgjedh në mënyrë strategjike objektiva të profilit të lartë dhe përdor taktika të ndryshme, të tilla si phishing dhe përdorimi i mjeteve të krijuara me porosi, për të kompromentuar sistemet dhe për të fituar akses të paautorizuar në informacione të ndjeshme. APT35 është vërejtur se ka përditësuar taktikat e saj duke përdorur një version të përmirësuar të një implanti PowerShell të njohur si POWERSTAR , i referuar gjithashtu si GhostEcho ose CharmPower.

Në një sekuencë specifike sulmi që ndodhi në mes të majit 2023, aktorët e kërcënimit nga APT35 nisën një fushatë phishing. Objektivi i tyre ishte një ekspert i sigurisë bërthamore i lidhur me një institut me qendër në SHBA që fokusohej në çështjet e jashtme. Sulmi përfshinte dërgimin e emaileve mashtruese që përmbanin një lidhje me qëllim të keq të maskuar si një makro Google Script. Pasi të klikohet, lidhja e ridrejtoi objektivin në një URL Dropbox që pret një arkiv RAR.

APT35 përdori zinxhirë të ndryshëm sulmi për të kompromentuar përdoruesit e Apple me malware NokNok

Nëse objektivi i zgjedhur po përdor një pajisje Apple, APT35 thuhet se ka rregulluar metodat e tij dhe ka ekzekutuar një taktikë dytësore. Kjo përfshinte dërgimin e një emaili të dytë që përmbante një arkiv ZIP që përfshinte një skedar binar Mach-O. Skedari u maskua si një aplikacion VPN, por në realitet, ai funksiononte si një AppleScript. Kur ekzekutohet, ky skript krijon një lidhje me një server të largët për të nisur shkarkimin e një dere të pasme të quajtur NokNok.

Dora e pasme e NokNok, pas instalimit, merr deri në katër module që kanë aftësi të ndryshme. Këto module mundësojnë mbledhjen e informacionit si proceset e ekzekutimit, aplikacionet e instaluara dhe meta të dhënat e sistemit. Për më tepër, ato lehtësojnë vendosjen e qëndrueshmërisë brenda sistemit të komprometuar duke përdorur LaunchAgents.

Veçanërisht, funksionaliteti i këtyre moduleve ka një ngjashmëri të habitshme me modulet e lidhura me POWERSTAR, një mjet i identifikuar më parë i përdorur nga APT35. Kjo tregon një mbivendosje të konsiderueshme në aftësitë dhe qëllimin e dy llojeve të malware. Për më tepër, NokNok shfaq ngjashmëri të kodit me malware të macOS që i ishte atribuar më parë të njëjtit grup krimi kibernetik në 2017.

Për të përmirësuar më tej taktikat e tyre, hakerët krijuan gjithashtu një faqe interneti mashtruese për ndarjen e skedarëve. Kjo faqe interneti ka të ngjarë të shërbejë si një mënyrë për vizitorët e gjurmëve të gishtërinjve, për të mbledhur informacione për viktimat e mundshme dhe për të vepruar si një mekanizëm gjurmues për të monitoruar suksesin e sulmeve të tyre.

Këto teknika adaptive të përdorura nga TA453 demonstrojnë përpjekjet e tyre të vazhdueshme për të synuar përdoruesit e Apple dhe për të shfrytëzuar sistemet e tyre. Ai nënvizon rëndësinë e mbajtjes së praktikave të forta të sigurisë, të tilla si përditësimi i rregullt i softuerit, përdorimi i zgjidhjeve të besueshme antivirus dhe tregimi i kujdesit kur ndërveproni me bashkëngjitjet e postës elektronike ose kur shkarkoni skedarë nga burime të pabesueshme. Duke qëndruar të informuar për kërcënimet në zhvillim dhe duke zbatuar masa gjithëpërfshirëse sigurie, përdoruesit mund të mbrohen më mirë kundër aktiviteteve të aktorëve të kërcënimit si APT35.