NokNok Mac మాల్వేర్

ఇరాన్‌కు చెందిన APT35గా గుర్తించబడిన జాతీయ-రాష్ట్ర సైబర్‌క్రైమ్ నటుడు Windows మరియు macOS ఆపరేటింగ్ సిస్టమ్‌లను ప్రభావితం చేసే లక్ష్య స్పియర్-ఫిషింగ్ దాడులతో సంబంధం కలిగి ఉన్నాడు. ఈ దాడులు ప్రత్యేకమైన మాల్వేర్ సాధనాలతో సిస్టమ్‌లలోకి చొరబడటాన్ని లక్ష్యంగా పెట్టుకున్నాయి. APT35 దాడుల విశ్లేషణలో హ్యాకర్లు ఒక ప్రత్యేకమైన ఇన్‌ఫెక్షన్ చైన్‌ను స్థాపించడానికి వివిధ క్లౌడ్ హోస్టింగ్ ప్రొవైడర్‌లను నియమించుకున్నారని వెల్లడించింది.

సైబర్ నేరగాళ్లు గతంలో తెలియని రెండు మాల్వేర్ బెదిరింపులను కూడా ఉపయోగించారు. విండోస్ సిస్టమ్‌లలో, APT35 గోర్జోల్ ఎకో పేరుతో కొత్తగా కనుగొనబడిన పవర్‌షెల్ బ్యాక్‌డోర్‌ను ఉపయోగించింది. ప్రత్యామ్నాయంగా, బాధితులు Apple పరికరాన్ని ఉపయోగిస్తున్నట్లు గుర్తించినట్లయితే, హ్యాకర్లు NokNok వలె ట్రాక్ చేయబడిన Mac మాల్వేర్ ముప్పును కలిగి ఉన్న సవరించిన ఇన్ఫెక్షన్ చైన్‌కు మారారు.

ఇది మాకోస్‌కు సంబంధించిన దుర్బలత్వాలను ఉపయోగించుకోవడానికి నటుడి ప్రయత్నాలను చూపుతుంది.

APT35 సైబర్ క్రైమ్ గ్రూప్ దాని స్పియర్-ఫిషింగ్ టెక్నిక్‌లను అభివృద్ధి చేయడం కొనసాగించింది

APT35, చార్మింగ్ కిట్టెన్, TA453, మింట్ సాండ్‌స్టార్మ్ మరియు ఎల్లో గరుడ అని కూడా పిలుస్తారు, ఇది ఇరాన్ యొక్క ఇస్లామిక్ రివల్యూషనరీ గార్డ్ కార్ప్స్ (IRGC)తో సంబంధాలు కలిగి ఉన్న ఒక ప్రముఖ ముప్పు సమూహం. ఈ సమూహం కనీసం 2011 నుండి క్రియాశీలంగా ఉంది, వ్యక్తులు మరియు సంస్థలను లక్ష్యంగా చేసుకుని వివిధ సైబర్ కార్యకలాపాలలో పాల్గొంటుంది. గూఢచర్య కార్యకలాపాల కోసం వారి కనికరంలేని అన్వేషణలో, APT35 మల్టీ-పర్సొనా వేషధారణ అని పిలువబడే ఒక వ్యూహాన్ని ఉపయోగించింది, ఇందులో బెదిరింపు నటులు లక్ష్యాలను మోసగించడానికి మరియు సున్నితమైన సమాచారానికి అనధికారిక ప్రాప్యతను పొందేందుకు బహుళ గుర్తింపులను కలిగి ఉంటారు.

APT35 ద్వారా ఉపయోగించబడిన ఈ అధునాతన పద్ధతులు లక్ష్య సైబర్ గూఢచర్య కార్యకలాపాలను నిర్వహించడానికి వారి కొనసాగుతున్న ప్రయత్నాలను హైలైట్ చేస్తాయి. సమూహం వ్యూహాత్మకంగా ఉన్నత-ప్రొఫైల్ లక్ష్యాలను ఎంచుకుంటుంది మరియు ఫిషింగ్ మరియు అనుకూల-నిర్మిత సాధనాల వినియోగం వంటి వివిధ వ్యూహాలను ఉపయోగిస్తుంది, సిస్టమ్‌లను రాజీ చేయడానికి మరియు సున్నితమైన సమాచారానికి అనధికారిక ప్రాప్యతను పొందుతుంది. పవర్‌స్టార్ అని పిలువబడే పవర్‌షెల్ ఇంప్లాంట్ యొక్క మెరుగైన సంస్కరణను ఉపయోగించడం ద్వారా APT35 దాని వ్యూహాలను నవీకరించినట్లు గమనించబడింది, దీనిని GhostEcho లేదా CharmPower అని కూడా పిలుస్తారు.

మే 2023 మధ్యలో జరిగిన నిర్దిష్ట దాడి క్రమంలో, APT35 నుండి బెదిరింపు నటులు ఫిషింగ్ ప్రచారాన్ని ప్రారంభించారు. వారి లక్ష్యం విదేశీ వ్యవహారాలపై దృష్టి సారించే US-ఆధారిత థింక్ ట్యాంక్‌తో అనుబంధించబడిన అణు భద్రతా నిపుణుడు. దాడిలో Google స్క్రిప్ట్ మాక్రో వలె మారువేషంలో ఉన్న హానికరమైన లింక్‌ను కలిగి ఉన్న మోసపూరిత ఇమెయిల్‌లను పంపడం జరిగింది. క్లిక్ చేసిన తర్వాత, లింక్ లక్ష్యాన్ని RAR ఆర్కైవ్‌ని హోస్ట్ చేస్తున్న డ్రాప్‌బాక్స్ URLకి దారి మళ్లిస్తుంది.

NokNok మాల్వేర్‌తో Apple వినియోగదారులను రాజీ చేసేందుకు APT35 విభిన్న అటాక్ చైన్‌లను ఉపయోగించింది

ఎంచుకున్న లక్ష్యం Apple పరికరాన్ని ఉపయోగిస్తుంటే, APT35 దాని పద్ధతులను సర్దుబాటు చేసి, ద్వితీయ వ్యూహాన్ని అమలు చేసినట్లు నివేదించబడింది. ఇది Mach-O బైనరీ ఫైల్‌ను కలిగి ఉన్న జిప్ ఆర్కైవ్‌ను కలిగి ఉన్న రెండవ ఇమెయిల్‌ను పంపడం. ఫైల్ VPN అప్లికేషన్ వలె మారువేషంలో ఉంది, కానీ వాస్తవానికి, ఇది AppleScript వలె పనిచేసింది. అమలు చేయబడినప్పుడు, ఈ స్క్రిప్ట్ NokNok అనే బ్యాక్‌డోర్ డౌన్‌లోడ్‌ను ప్రారంభించడానికి రిమోట్ సర్వర్‌తో కనెక్షన్‌ను ఏర్పాటు చేస్తుంది.

NokNok బ్యాక్‌డోర్, ఇన్‌స్టాలేషన్ తర్వాత, వివిధ సామర్థ్యాలను కలిగి ఉన్న నాలుగు మాడ్యూల్‌లను తిరిగి పొందుతుంది. ఈ మాడ్యూల్స్ రన్నింగ్ ప్రాసెస్‌లు, ఇన్‌స్టాల్ చేసిన అప్లికేషన్‌లు మరియు సిస్టమ్ మెటాడేటా వంటి సమాచార సేకరణను ప్రారంభిస్తాయి. అదనంగా, వారు లాంచ్‌ఏజెంట్‌లను ఉపయోగించడం ద్వారా రాజీపడిన వ్యవస్థలో నిలకడను స్థాపించడానికి వీలు కల్పిస్తారు.

ముఖ్యంగా, ఈ మాడ్యూల్స్ యొక్క కార్యాచరణ POWERSTARతో అనుబంధించబడిన మాడ్యూల్‌లకు అద్భుతమైన పోలికను కలిగి ఉంది, ఇది గతంలో APT35 ద్వారా ఉపయోగించబడిన సాధనం. ఇది రెండు మాల్వేర్ జాతుల సామర్థ్యాలు మరియు ప్రయోజనంలో ముఖ్యమైన అతివ్యాప్తిని సూచిస్తుంది. ఇంకా, NokNok మాకోస్ మాల్వేర్‌తో కోడ్ సారూప్యతలను ప్రదర్శిస్తుంది, ఇది గతంలో 2017లో అదే సైబర్ క్రైమ్ గ్రూప్‌కు ఆపాదించబడింది.

వారి వ్యూహాలను మరింత మెరుగుపరచడానికి, హ్యాకర్లు ఒక మోసపూరిత ఫైల్-షేరింగ్ వెబ్‌సైట్‌ను కూడా స్థాపించారు. ఈ వెబ్‌సైట్ సందర్శకులను వేలిముద్ర వేయడానికి, సంభావ్య బాధితుల గురించి సమాచారాన్ని సేకరించడానికి మరియు వారి దాడుల విజయాన్ని పర్యవేక్షించడానికి ట్రాకింగ్ మెకానిజం వలె పని చేయడానికి ఒక మార్గంగా ఉపయోగపడుతుంది.

TA453 ద్వారా ఉపయోగించబడిన ఈ అనుకూల పద్ధతులు Apple వినియోగదారులను లక్ష్యంగా చేసుకోవడానికి మరియు వారి సిస్టమ్‌లను దోపిడీ చేయడానికి వారి కొనసాగుతున్న ప్రయత్నాలను ప్రదర్శిస్తాయి. సాఫ్ట్‌వేర్‌ను క్రమం తప్పకుండా అప్‌డేట్ చేయడం, నమ్మదగిన యాంటీవైరస్ సొల్యూషన్‌లను ఉపయోగించడం మరియు ఇమెయిల్ జోడింపులతో పరస్పర చర్య చేస్తున్నప్పుడు లేదా అవిశ్వసనీయ మూలాల నుండి ఫైల్‌లను డౌన్‌లోడ్ చేసేటప్పుడు జాగ్రత్త వహించడం వంటి బలమైన భద్రతా పద్ధతులను నిర్వహించడం యొక్క ప్రాముఖ్యతను ఇది నొక్కి చెబుతుంది. అభివృద్ధి చెందుతున్న బెదిరింపుల గురించి మరియు సమగ్ర భద్రతా చర్యలను అమలు చేయడం ద్వారా, వినియోగదారులు APT35 వంటి ముప్పు నటుల కార్యకలాపాల నుండి తమను తాము బాగా రక్షించుకోవచ్చు.