НокНок Мац злонамерни софтвер

Актер кибернетичког криминала из националне државе идентификован као АПТ35 из Ирана повезан је са таласом циљаних пхисхинг напада који утичу на оперативне системе Виндовс и мацОС. Ови напади имају за циљ да инфилтрирају системе са специјализованим алатима за малвер. Анализа АПТ35 напада открила је да су хакери користили различите хостинг провајдере у облаку како би успоставили јединствени ланац инфекције.

Сајбер криминалци су такође користили две раније непознате претње малвером. На Виндовс системима, АПТ35 је користио новооткривени ПоверСхелл бацкдоор под називом ГорјолЕцхо. Алтернативно, ако се утврди да жртве користе Аппле уређај, хакери су се пребацили на модификовани ланац инфекције који је укључивао претњу Мац малвера праћену као НокНок.

Ово показује покушаје глумца да искористи рањивости специфичне за мацОС.

Група за сајбер криминал АПТ35 наставља да развија своје технике пхисхинг-а

АПТ35, такође познат као Шармантно маче, ТА453, Минт Сандсторм и Иеллов Гаруда, је истакнута претња група која је повезана са иранском Исламском револуционарном гардом (ИРГЦ). Ова група је активна најмање од 2011. године, ангажујући се у разним сајбер операцијама усмереним на појединце и организације. У својој немилосрдној потрази за шпијунским активностима, АПТ35 је користио тактику познату као лажно представљање са више особа, која укључује претње који преузимају вишеструке идентитете да би преварили мете и добили неовлашћени приступ осетљивим информацијама.

Ове софистициране технике које користи АПТ35 наглашавају њихове сталне напоре да изврше циљане операције сајбер шпијунаже. Група стратешки бира мете високог профила и користи различите тактике, као што су пхисхинг и коришћење прилагођених алата, како би компромитовала системе и добила неовлашћени приступ осетљивим информацијама. Примећено је да је АПТ35 ажурирао своју тактику коришћењем побољшане верзије ПоверСхелл имплантата познатог као ПОВЕРСТАР , који се такође назива ГхостЕцхо или ЦхармПовер.

У специфичној секвенци напада која се догодила средином маја 2023. године, актери претњи из АПТ35 покренули су пхисхинг кампању. Њихова мета је био стручњак за нуклеарну безбедност повезан са истраживачким тимом са седиштем у САД који се фокусира на спољне послове. Напад је подразумевао слање обмањујућих порука е-поште које су садржале злонамерну везу прерушену у макро Гоогле Сцрипт. Када се кликне, веза је преусмерила циљ на Дропбок УРЛ на коме се налази РАР архива.

АПТ35 је користио различите ланце напада како би компромитовао Аппле кориснике са НокНок малвером

Ако изабрана мета користи Аппле уређај, АПТ35 је наводно прилагодио своје методе и извршио секундарну тактику. Ово је укључивало слање друге е-поште која садржи ЗИП архиву која је укључивала Мацх-О бинарну датотеку. Датотека се маскирала као ВПН апликација, али је у стварности функционисала као АпплеСцрипт. Када се изврши, ова скрипта успоставља везу са удаљеним сервером да би покренула преузимање бацкдоор-а под називом НокНок.

НокНок бацкдоор, након инсталације, преузима до четири модула који поседују различите могућности. Ови модули омогућавају прикупљање информација као што су покренути процеси, инсталиране апликације и системски метаподаци. Поред тога, они олакшавају успостављање постојаности унутар компромитованог система користећи ЛаунцхАгентс.

Значајно је да функционалност ових модула има упадљиву сличност са модулима повезаним са ПОВЕРСТАР-ом, претходно идентификованим алатом који користи АПТ35. Ово указује на значајно преклапање у могућностима и сврси два соја злонамерног софтвера. Штавише, НокНок показује сличности кода са мацОС малвером који је раније био приписан истој групи сајбер криминала 2017.

Да би додатно побољшали своју тактику, хакери су такође успоставили лажну веб локацију за дељење датотека. Ова веб локација вероватно служи као начин да се посетиоци отиска прста, прикупљају информације о потенцијалним жртвама и делује као механизам за праћење за праћење успеха њихових напада.

Ове адаптивне технике које користи ТА453 показују њихове сталне напоре да циљају Аппле кориснике и искористе њихове системе. Он наглашава важност одржавања јаких безбедносних пракси, као што је редовно ажурирање софтвера, употреба поузданих антивирусних решења и опрез при интеракцији са прилозима е-поште или преузимању датотека из непоузданих извора. Информисаним о претњама које се развијају и применом свеобухватних безбедносних мера, корисници могу боље да се заштите од активности актера претњи као што је АПТ35.