NokNok Mac มัลแวร์
ผู้ก่ออาชญากรรมทางไซเบอร์ระดับประเทศที่ถูกระบุว่าเป็น APT35 จากอิหร่านมีความเกี่ยวข้องกับคลื่นการโจมตีแบบสเปียร์ฟิชชิงที่มีเป้าหมายส่งผลกระทบต่อทั้งระบบปฏิบัติการ Windows และ macOS การโจมตีเหล่านี้มีเป้าหมายเพื่อแทรกซึมเข้าไปในระบบด้วยเครื่องมือมัลแวร์พิเศษ การวิเคราะห์การโจมตี APT35 เผยให้เห็นว่าแฮ็กเกอร์จ้างผู้ให้บริการโฮสติ้งบนคลาวด์หลายรายเพื่อสร้างห่วงโซ่การติดเชื้อที่ไม่เหมือนใคร
อาชญากรไซเบอร์ยังใช้ภัยคุกคามมัลแวร์ที่ไม่รู้จักก่อนหน้านี้สองรายการ ในระบบ Windows APT35 ใช้แบ็คดอร์ PowerShell ที่เพิ่งค้นพบชื่อ GorjolEcho อีกทางหนึ่ง หากพบว่าเหยื่อใช้อุปกรณ์ Apple แฮ็กเกอร์จะเปลี่ยนไปใช้เครือข่ายการติดไวรัสที่ดัดแปลงซึ่งเกี่ยวข้องกับภัยคุกคามมัลแวร์ Mac ที่ติดตามในชื่อ NokNok
สิ่งนี้แสดงให้เห็นความพยายามของนักแสดงที่จะใช้ประโยชน์จากช่องโหว่เฉพาะสำหรับ macOS
กลุ่มอาชญากรไซเบอร์ APT35 ยังคงพัฒนาเทคนิคสเปียร์ฟิชชิงต่อไป
APT35 หรือที่เรียกว่า Charming Kitten, TA453, Mint Sandstorm และ Yellow Garuda เป็นกลุ่มภัยคุกคามที่โดดเด่นซึ่งมีสายสัมพันธ์กับกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ของอิหร่าน กลุ่มนี้มีบทบาทมาอย่างน้อยตั้งแต่ปี 2554 โดยมีส่วนร่วมในปฏิบัติการทางไซเบอร์ต่างๆ โดยกำหนดเป้าหมายเป็นบุคคลและองค์กร ในการติดตามกิจกรรมจารกรรมอย่างไม่ลดละ APT35 ใช้กลวิธีที่เรียกว่าการเลียนแบบหลายตัวตน ซึ่งเกี่ยวข้องกับผู้คุกคามที่สวมบทบาทหลายตัวตนเพื่อหลอกลวงเป้าหมายและเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
เทคนิคที่ซับซ้อนเหล่านี้ใช้โดย APT35 เน้นความพยายามอย่างต่อเนื่องในการดำเนินการจารกรรมทางไซเบอร์แบบกำหนดเป้าหมาย กลุ่มนี้เลือกเป้าหมายที่มีรายละเอียดสูงอย่างมีกลยุทธ์และใช้กลวิธีต่างๆ เช่น ฟิชชิงและการใช้เครื่องมือที่สร้างขึ้นเอง เพื่อเจาะระบบและเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต APT35 ได้รับการสังเกตว่ามีการปรับปรุงกลยุทธ์โดยใช้ PowerShell เวอร์ชันปรับปรุงที่รู้จักกันในชื่อ POWERSTAR ซึ่งเรียกอีกอย่างว่า GhostEcho หรือ CharmPower
ในลำดับการโจมตีเฉพาะที่เกิดขึ้นกลางเดือนพฤษภาคม 2566 ผู้คุกคามจาก APT35 ได้เปิดตัวแคมเปญฟิชชิง เป้าหมายของพวกเขาคือผู้เชี่ยวชาญด้านความมั่นคงทางนิวเคลียร์ที่เกี่ยวข้องกับคลังสมองของสหรัฐฯ ที่มุ่งเน้นไปที่กิจการต่างประเทศ การโจมตีดังกล่าวรวมถึงการส่งอีเมลหลอกลวงที่มีลิงก์ที่เป็นอันตรายซึ่งปลอมตัวเป็นมาโคร Google Script เมื่อคลิกแล้ว ลิงก์จะเปลี่ยนเส้นทางเป้าหมายไปยัง Dropbox URL ที่โฮสต์ไฟล์เก็บถาวร RAR
APT35 ใช้เครือข่ายการโจมตีที่แตกต่างกันเพื่อประนีประนอมกับมัลแวร์ NokNok ของผู้ใช้ Apple
หากเป้าหมายที่เลือกกำลังใช้อุปกรณ์ Apple มีรายงานว่า APT35 ปรับวิธีการและดำเนินกลยุทธ์รอง สิ่งนี้เกี่ยวข้องกับการส่งอีเมลฉบับที่สองที่มีไฟล์ ZIP ซึ่งรวมไฟล์ไบนารี Mach-O ไฟล์ดังกล่าวปลอมตัวเป็นแอปพลิเคชัน VPN แต่ในความเป็นจริงแล้ว ไฟล์ดังกล่าวทำหน้าที่เป็น AppleScript เมื่อดำเนินการ สคริปต์นี้จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อเริ่มต้นการดาวน์โหลดแบ็คดอร์ที่เรียกว่า NokNok
เมื่อติดตั้งแล้ว แบ็คดอร์ NokNok จะดึงข้อมูลโมดูลได้ถึงสี่โมดูลที่มีความสามารถต่างๆ โมดูลเหล่านี้เปิดใช้งานการรวบรวมข้อมูล เช่น กระบวนการทำงาน แอปพลิเคชันที่ติดตั้ง และข้อมูลเมตาของระบบ นอกจากนี้ยังอำนวยความสะดวกในการสร้างการคงอยู่ภายในระบบที่ถูกบุกรุกโดยใช้ LaunchAgents
โดยเฉพาะอย่างยิ่ง ฟังก์ชันการทำงานของโมดูลเหล่านี้มีความคล้ายคลึงกับโมดูลที่เกี่ยวข้องกับ POWERSTAR ซึ่งเป็นเครื่องมือที่ระบุก่อนหน้านี้ซึ่งใช้โดย APT35 สิ่งนี้บ่งชี้ว่าความสามารถและจุดประสงค์ของมัลแวร์ทั้งสองสายพันธุ์มีความซ้ำซ้อนกันอย่างมาก นอกจากนี้ NokNok ยังแสดงความคล้ายคลึงกันของรหัสกับมัลแวร์ macOS ซึ่งก่อนหน้านี้มีสาเหตุมาจากกลุ่มอาชญากรไซเบอร์กลุ่มเดียวกันในปี 2560
แฮ็กเกอร์ยังสร้างเว็บไซต์แชร์ไฟล์หลอกลวงเพื่อยกระดับกลยุทธ์ให้ดียิ่งขึ้น เว็บไซต์นี้น่าจะทำหน้าที่เป็นช่องทางในการตรวจลายนิ้วมือผู้เยี่ยมชม รวบรวมข้อมูลเกี่ยวกับผู้ที่อาจตกเป็นเหยื่อ และทำหน้าที่เป็นกลไกในการติดตามเพื่อติดตามความสำเร็จของการโจมตีของพวกเขา
เทคนิคการปรับตัวเหล่านี้ใช้โดย TA453 แสดงให้เห็นถึงความพยายามอย่างต่อเนื่องในการกำหนดเป้าหมายผู้ใช้ Apple และใช้ประโยชน์จากระบบของพวกเขา เน้นย้ำถึงความสำคัญของการรักษาแนวปฏิบัติด้านความปลอดภัยที่รัดกุม เช่น การอัปเดตซอฟต์แวร์เป็นประจำ การใช้โซลูชันป้องกันไวรัสที่เชื่อถือได้ และการใช้ความระมัดระวังเมื่อโต้ตอบกับไฟล์แนบในอีเมลหรือดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ ด้วยการรับทราบข้อมูลเกี่ยวกับภัยคุกคามที่กำลังพัฒนาและการใช้มาตรการรักษาความปลอดภัยที่ครอบคลุม ผู้ใช้สามารถป้องกันตนเองจากกิจกรรมของผู้คุกคาม เช่น APT35 ได้ดียิ่งขึ้น
