NokNok Mac Malware

Den nationalstatliga cyberbrottsaktören identifierad som APT35 från Iran har associerats med en våg av riktade spjutfiskeattacker som påverkar både Windows- och macOS-operativsystem. Dessa attacker syftar till att infiltrera system med specialiserade verktyg för skadlig programvara. Analys av APT35- attackerna avslöjade att hackarna använde olika molnvärdsleverantörer för att etablera en unik infektionskedja.

Cyberbrottslingarna använde också två tidigare okända skadliga hot. På Windows-system använde APT35 en nyupptäckt PowerShell-bakdörr vid namn GorjolEcho. Alternativt, om offren visade sig använda en Apple-enhet, bytte hackarna till en modifierad infektionskedja som involverade ett Mac-hot med skadlig kod som spårades som NokNok.

Detta visar skådespelarens försök att utnyttja sårbarheter som är specifika för macOS.

APT35 Cybercrime Group fortsätter att utveckla sina Spear-Phishing-tekniker

APT35, även känd som Charming Kitten, TA453, Mint Sandstorm och Yellow Garuda, är en framstående hotgrupp med kopplingar till Irans islamiska revolutionsgardet (IRGC). Denna grupp har varit aktiv sedan åtminstone 2011 och engagerat sig i olika cyberoperationer riktade mot individer och organisationer. I sin obevekliga jakt på spionageaktiviteter använde APT35 en taktik som kallas multi-persona imitation, som innebär att hotaktörer antar flera identiteter för att lura mål och få obehörig åtkomst till känslig information.

Dessa sofistikerade tekniker som används av APT35 framhäver deras pågående ansträngningar för att utföra riktade cyberspionageoperationer. Gruppen väljer strategiskt högprofilerade mål och använder olika taktiker, såsom nätfiske och användning av specialbyggda verktyg, för att äventyra system och få obehörig åtkomst till känslig information. APT35 har observerats ha uppdaterat sin taktik genom att använda en förbättrad version av ett PowerShell-implantat som kallas POWERSTAR , även kallat GhostEcho eller CharmPower.

I en specifik attacksekvens som inträffade i mitten av maj 2023 lanserade hotaktörerna från APT35 en nätfiskekampanj. Deras mål var en kärnsäkerhetsexpert kopplad till en USA-baserad tankesmedja som fokuserade på utrikesfrågor. Attacken innebar att man skickade vilseledande e-postmeddelanden som innehöll en skadlig länk förklädd som ett Google Script-makro. När du klickade på länken omdirigerade den målet till en Dropbox-URL som är värd för ett RAR-arkiv.

APT35 använde olika attackkedjor för att äventyra Apple-användare med NokNok Malware

Om det valda målet använder en Apple-enhet, har APT35 enligt uppgift justerat sina metoder och utfört en sekundär taktik. Detta innebar att skicka ett andra e-postmeddelande innehållande ett ZIP-arkiv som innehöll en binär Mach-O-fil. Filen förklädd sig som en VPN-applikation, men i verkligheten fungerade den som ett AppleScript. När det körs upprättar det här skriptet en anslutning till en fjärrserver för att initiera nedladdningen av en bakdörr som heter NokNok.

NokNok-bakdörren hämtar vid installation upp till fyra moduler som har olika funktioner. Dessa moduler möjliggör insamling av information såsom pågående processer, installerade applikationer och systemmetadata. Dessutom underlättar de etableringen av persistens inom det komprometterade systemet genom att använda LaunchAgents.

Funktionaliteten hos dessa moduler har en slående likhet med modulerna förknippade med POWERSTAR, ett tidigare identifierat verktyg som används av APT35. Detta indikerar en betydande överlappning i kapaciteten och syftet med de två skadliga stammarna. Dessutom uppvisar NokNok kodlikheter med macOS malware som tidigare tillskrevs samma cyberbrottsgrupp 2017.

För att ytterligare förbättra sin taktik, etablerade hackarna också en bedräglig fildelningswebbplats. Den här webbplatsen fungerar troligen som ett sätt att fingeravtrycka besökare, samla information om potentiella offer och fungera som en spårningsmekanism för att övervaka framgången för deras attacker.

Dessa adaptiva tekniker som används av TA453 visar deras pågående ansträngningar att rikta in sig på Apple-användare och utnyttja deras system. Det understryker vikten av att upprätthålla starka säkerhetsrutiner, som att regelbundet uppdatera programvara, använda tillförlitliga antiviruslösningar och att vara försiktig när du interagerar med e-postbilagor eller laddar ner filer från opålitliga källor. Genom att hålla sig informerad om framväxande hot och implementera omfattande säkerhetsåtgärder kan användare bättre skydda sig mot aktiviteter från hotaktörer som APT35.