NokNok Mac மால்வேர்

ஈரானைச் சேர்ந்த APT35 என அடையாளம் காணப்பட்ட தேசிய-மாநில சைபர் கிரைம் நடிகர், விண்டோஸ் மற்றும் மேகோஸ் இயக்க முறைமைகளை பாதிக்கும் இலக்கு ஈட்டி-ஃபிஷிங் தாக்குதல்களின் அலைகளுடன் தொடர்புடையவர். இந்தத் தாக்குதல்கள் பிரத்யேக தீம்பொருள் கருவிகளைக் கொண்ட அமைப்புகளுக்குள் ஊடுருவுவதை நோக்கமாகக் கொண்டுள்ளன. APT35 தாக்குதல்களின் பகுப்பாய்வு, ஹேக்கர்கள் ஒரு தனித்துவமான தொற்று சங்கிலியை நிறுவ பல்வேறு கிளவுட் ஹோஸ்டிங் வழங்குநர்களைப் பயன்படுத்தியது தெரியவந்தது.

சைபர் கிரைமினல்கள் முன்பு அறியப்படாத இரண்டு மால்வேர் அச்சுறுத்தல்களையும் பயன்படுத்தினர். விண்டோஸ் சிஸ்டங்களில், APT35 ஆனது GorjolEcho என்ற பெயரில் புதிதாகக் கண்டுபிடிக்கப்பட்ட பவர்ஷெல் கதவுகளைப் பயன்படுத்தியது. மாற்றாக, பாதிக்கப்பட்டவர்கள் ஆப்பிள் சாதனத்தைப் பயன்படுத்துவதாகக் கண்டறியப்பட்டால், ஹேக்கர்கள் மாற்றியமைக்கப்பட்ட தொற்று சங்கிலிக்கு மாறினர், அதில் NokNok என கண்காணிக்கப்படும் Mac தீம்பொருள் அச்சுறுத்தலை உள்ளடக்கியது.

MacOS க்கு குறிப்பிட்ட பாதிப்புகளை சுரண்டுவதற்கான நடிகரின் முயற்சிகளை இது காட்டுகிறது.

APT35 சைபர் கிரைம் குழு அதன் ஸ்பியர்-ஃபிஷிங் நுட்பங்களைத் தொடர்ந்து மேம்படுத்துகிறது

வசீகரமான பூனைக்குட்டி, TA453, புதினா மணல் புயல் மற்றும் மஞ்சள் கருடா என்றும் அழைக்கப்படும் APT35, ஈரானின் இஸ்லாமிய புரட்சிகர காவலர் படையுடன் (IRGC) உறவுகளைக் கொண்ட ஒரு முக்கிய அச்சுறுத்தல் குழுவாகும். இந்தக் குழு குறைந்தபட்சம் 2011 முதல் செயலில் உள்ளது, தனிநபர்கள் மற்றும் நிறுவனங்களைக் குறிவைத்து பல்வேறு இணைய நடவடிக்கைகளில் ஈடுபட்டுள்ளது. அவர்களின் இடைவிடாத உளவு நடவடிக்கைகளில், APT35 பல நபர் ஆள்மாறாட்டம் எனப்படும் ஒரு தந்திரத்தை கையாண்டது, இதில் அச்சுறுத்தல் நடிகர்கள் இலக்குகளை ஏமாற்ற பல அடையாளங்களை எடுத்துக்கொண்டு முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுகின்றனர்.

APT35 ஆல் பயன்படுத்தப்படும் இந்த அதிநவீன நுட்பங்கள், இலக்கு இணைய உளவு நடவடிக்கைகளை மேற்கொள்வதற்கான அவர்களின் தொடர்ச்சியான முயற்சிகளை எடுத்துக்காட்டுகின்றன. குழுவானது உயர்நிலை இலக்குகளைத் தேர்ந்தெடுத்து, ஃபிஷிங் மற்றும் தனிப்பயனாக்கப்பட்ட கருவிகளைப் பயன்படுத்துதல் போன்ற பல்வேறு தந்திரோபாயங்களைப் பயன்படுத்துகிறது. GhostEcho அல்லது CharmPower என்றும் குறிப்பிடப்படும் POWERSTAR எனப்படும் பவர்ஷெல் உள்வைப்பின் மேம்படுத்தப்பட்ட பதிப்பைப் பயன்படுத்தி APT35 அதன் தந்திரோபாயங்களைப் புதுப்பித்துள்ளது.

மே 2023 இன் நடுப்பகுதியில் நிகழ்ந்த ஒரு குறிப்பிட்ட தாக்குதல் வரிசையில், APT35 இன் அச்சுறுத்தல் நடிகர்கள் ஃபிஷிங் பிரச்சாரத்தைத் தொடங்கினர். அவர்களின் இலக்கு, வெளிவிவகாரங்களில் கவனம் செலுத்தும் அமெரிக்க அடிப்படையிலான சிந்தனைக் குழுவுடன் தொடர்புடைய அணுசக்தி பாதுகாப்பு நிபுணர். கூகுள் ஸ்கிரிப்ட் மேக்ரோவாக மாறுவேடமிட்டு, தீங்கிழைக்கும் இணைப்பைக் கொண்ட ஏமாற்றும் மின்னஞ்சல்களை அனுப்பும் தாக்குதலுக்கு உட்பட்டது. கிளிக் செய்தவுடன், இணைப்பு RAR காப்பகத்தை வழங்கும் டிராப்பாக்ஸ் URL க்கு இலக்கை திருப்பிவிடும்.

NokNok மால்வேருடன் ஆப்பிள் பயனர்களை சமரசம் செய்ய APT35 வெவ்வேறு தாக்குதல் சங்கிலிகளைப் பயன்படுத்தியது.

தேர்ந்தெடுக்கப்பட்ட இலக்கு ஆப்பிள் சாதனத்தைப் பயன்படுத்துவதாக இருந்தால், APT35 அதன் முறைகளை சரிசெய்து இரண்டாம் நிலை தந்திரத்தை செயல்படுத்தியதாக கூறப்படுகிறது. இது Mach-O பைனரி கோப்பை இணைக்கப்பட்ட ZIP காப்பகத்தைக் கொண்ட இரண்டாவது மின்னஞ்சலை அனுப்புவதை உள்ளடக்கியது. கோப்பு ஒரு VPN பயன்பாடாக மாறுவேடமிட்டது, ஆனால் உண்மையில் இது ஆப்பிள்ஸ்கிரிப்டாக செயல்பட்டது. செயல்படுத்தப்படும் போது, இந்த ஸ்கிரிப்ட் NokNok எனப்படும் பின்கதவின் பதிவிறக்கத்தைத் தொடங்க தொலை சேவையகத்துடன் இணைப்பை நிறுவுகிறது.

NokNok பின்கதவு, நிறுவப்பட்டவுடன், பல்வேறு திறன்களைக் கொண்ட நான்கு தொகுதிகள் வரை மீட்டெடுக்கிறது. இந்த தொகுதிகள் இயங்கும் செயல்முறைகள், நிறுவப்பட்ட பயன்பாடுகள் மற்றும் கணினி மெட்டாடேட்டா போன்ற தகவல்களை சேகரிப்பதை செயல்படுத்துகின்றன. கூடுதலாக, LaunchAgents ஐப் பயன்படுத்துவதன் மூலம் சமரசம் செய்யப்பட்ட அமைப்பிற்குள் நிலைத்தன்மையை நிறுவுவதற்கு அவை உதவுகின்றன.

குறிப்பிடத்தக்க வகையில், இந்த தொகுதிகளின் செயல்பாடு, APT35 ஆல் பயன்படுத்தப்பட்ட முன்னர் அடையாளம் காணப்பட்ட கருவியான POWERSTAR உடன் தொடர்புடைய தொகுதிக்கூறுகளுடன் ஒரு குறிப்பிடத்தக்க ஒற்றுமையைக் கொண்டுள்ளது. இது இரண்டு மால்வேர் விகாரங்களின் திறன்கள் மற்றும் நோக்கத்தில் குறிப்பிடத்தக்க ஒன்றுடன் ஒன்று இருப்பதைக் குறிக்கிறது. மேலும், NokNok ஆனது MacOS தீம்பொருளுடன் குறியீடு ஒற்றுமைகளை வெளிப்படுத்துகிறது, இது முன்பு 2017 இல் இதே சைபர் கிரைம் குழுவிற்குக் காரணம் கூறப்பட்டது.

தங்கள் தந்திரோபாயங்களை மேலும் மேம்படுத்த, ஹேக்கர்கள் ஒரு மோசடியான கோப்பு பகிர்வு வலைத்தளத்தையும் நிறுவினர். இந்த இணையதளம் பார்வையாளர்களின் கைரேகையை அளப்பதற்கும், பாதிக்கப்பட்டவர்களை பற்றிய தகவல்களை சேகரிப்பதற்கும், அவர்களின் தாக்குதல்களின் வெற்றியை கண்காணிக்கும் ஒரு கண்காணிப்பு பொறிமுறையாகவும் செயல்படும்.

TA453 ஆல் பயன்படுத்தப்படும் இந்த தகவமைப்பு நுட்பங்கள் ஆப்பிள் பயனர்களை குறிவைத்து அவர்களின் அமைப்புகளை சுரண்டுவதற்கான அவர்களின் தொடர்ச்சியான முயற்சிகளை நிரூபிக்கின்றன. மென்பொருளைத் தொடர்ந்து புதுப்பித்தல், நம்பகமான வைரஸ் தடுப்பு தீர்வுகளைப் பயன்படுத்துதல் மற்றும் மின்னஞ்சல் இணைப்புகளுடன் தொடர்பு கொள்ளும்போது அல்லது நம்பத்தகாத மூலங்களிலிருந்து கோப்புகளைப் பதிவிறக்கும் போது எச்சரிக்கையாக இருத்தல் போன்ற வலுவான பாதுகாப்பு நடைமுறைகளைப் பராமரிப்பதன் முக்கியத்துவத்தை இது அடிக்கோடிட்டுக் காட்டுகிறது. உருவாகும் அச்சுறுத்தல்கள் மற்றும் விரிவான பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துவதன் மூலம், APT35 போன்ற அச்சுறுத்தல் நடிகர்களின் செயல்பாடுகளுக்கு எதிராக பயனர்கள் தங்களை சிறப்பாக பாதுகாத்துக்கொள்ள முடியும்.