NokNok Mac Malware
Ang nation-state cybercrime actor na kinilala bilang APT35 mula sa Iran ay nauugnay sa isang wave ng mga naka-target na pag-atake ng spear-phishing na nakakaapekto sa parehong Windows at macOS operating system. Ang mga pag-atake na ito ay naglalayong makalusot sa mga system gamit ang mga espesyal na tool sa malware. Ang pagsusuri sa mga pag-atake ng APT35 ay nagsiwalat na ang mga hacker ay gumagamit ng iba't ibang cloud hosting provider upang magtatag ng isang natatanging chain ng impeksyon.
Gumagamit din ang mga cybercriminal ng dalawang hindi kilalang banta ng malware. Sa mga Windows system, ginamit ng APT35 ang isang bagong natuklasang PowerShell backdoor na pinangalanang GorjolEcho. Bilang kahalili, kung ang mga biktima ay natagpuang gumagamit ng isang Apple device, ang mga hacker ay lumipat sa isang binagong chain ng impeksyon na may kinalaman sa isang banta ng malware sa Mac na sinusubaybayan bilang NokNok.
Ipinapakita nito ang mga pagtatangka ng aktor na pagsamantalahan ang mga kahinaan na partikular sa macOS.
Patuloy na Binabago ng APT35 Cybercrime Group ang Mga Teknik na Spear-Phishing Nito
Ang APT35, na kilala rin bilang Charming Kitten, TA453, Mint Sandstorm, at Yellow Garuda, ay isang kilalang grupo ng pagbabanta na may kaugnayan sa Islamic Revolutionary Guard Corps (IRGC) ng Iran. Ang grupong ito ay naging aktibo mula noong hindi bababa sa 2011, na nakikibahagi sa iba't ibang cyber operations na nagta-target sa mga indibidwal at organisasyon. Sa kanilang walang humpay na pagtugis sa mga aktibidad ng espionage, gumamit ang APT35 ng taktika na kilala bilang multi-persona impersonation, na kinasasangkutan ng mga banta ng aktor na nagpapalagay ng maraming pagkakakilanlan upang linlangin ang mga target at makakuha ng hindi awtorisadong pag-access sa sensitibong impormasyon.
Itinatampok ng mga sopistikadong pamamaraan na ito na ginagamit ng APT35 ang kanilang patuloy na pagsisikap na magsagawa ng mga target na operasyong cyber espionage. Madiskarteng pinipili ng grupo ang mga target na may mataas na profile at gumagamit ng iba't ibang taktika, tulad ng phishing at paggamit ng mga custom-built na tool, upang ikompromiso ang mga system at makakuha ng hindi awtorisadong pag-access sa sensitibong impormasyon. Napagmasdan ang APT35 na na-update ang mga taktika nito sa pamamagitan ng paggamit ng pinahusay na bersyon ng isang PowerShell implant na kilala bilang POWERSTAR , na tinutukoy din bilang GhostEcho o CharmPower.
Sa isang partikular na pagkakasunud-sunod ng pag-atake na naganap noong kalagitnaan ng Mayo 2023, naglunsad ang mga aktor ng pagbabanta mula sa APT35 ng phishing campaign. Ang kanilang target ay isang eksperto sa seguridad ng nuklear na nauugnay sa isang think tank na nakabase sa US na nakatuon sa mga usaping panlabas. Ang pag-atake ay nagsasangkot ng pagpapadala ng mga mapanlinlang na email na naglalaman ng nakakahamak na link na itinago bilang isang Google Script macro. Kapag na-click, ini-redirect ng link ang target sa isang Dropbox URL na nagho-host ng RAR archive.
Ang APT35 ay Gumamit ng Iba't ibang Attack Chain upang Ikompromiso ang Mga Gumagamit ng Apple sa NokNok Malware
Kung ang napiling target ay gumagamit ng isang Apple device, iniulat na inayos ng APT35 ang mga pamamaraan nito at nagsagawa ng pangalawang taktika. Kasama dito ang pagpapadala ng pangalawang email na naglalaman ng ZIP archive na nagsama ng Mach-O binary file. Ang file ay itinago ang sarili bilang isang VPN application, ngunit sa katotohanan, ito ay gumana bilang isang AppleScript. Kapag naisakatuparan, ang script na ito ay nagtatatag ng koneksyon sa isang malayuang server upang simulan ang pag-download ng isang backdoor na tinatawag na NokNok.
Ang NokNok backdoor, sa pag-install, ay kumukuha ng hanggang apat na module na nagtataglay ng iba't ibang kakayahan. Ang mga module na ito ay nagbibigay-daan sa pagkolekta ng impormasyon tulad ng mga proseso ng pagpapatakbo, mga naka-install na application, at metadata ng system. Bukod pa rito, pinapadali nila ang pagtatatag ng pagtitiyaga sa loob ng nakompromisong sistema sa pamamagitan ng paggamit ng LaunchAgents.
Kapansin-pansin, ang functionality ng mga module na ito ay may kapansin-pansing pagkakahawig sa mga module na nauugnay sa POWERSTAR, isang dating natukoy na tool na ginamit ng APT35. Ipinapahiwatig nito ang isang makabuluhang overlap sa mga kakayahan at layunin ng dalawang strain ng malware. Higit pa rito, ang NokNok ay nagpapakita ng mga pagkakatulad ng code sa macOS malware na dating na-attribute sa parehong cybercrime group noong 2017.
Upang higit pang mapahusay ang kanilang mga taktika, ang mga hacker ay nagtatag din ng isang mapanlinlang na file-sharing website. Ang website na ito ay malamang na nagsisilbing isang paraan upang mag-fingerprint ng mga bisita, mangalap ng impormasyon tungkol sa mga potensyal na biktima, at kumilos bilang isang mekanismo sa pagsubaybay upang masubaybayan ang tagumpay ng kanilang mga pag-atake.
Ang mga adaptive technique na ito na ginagamit ng TA453 ay nagpapakita ng kanilang patuloy na pagsisikap na i-target ang mga user ng Apple at pagsamantalahan ang kanilang mga system. Binibigyang-diin nito ang kahalagahan ng pagpapanatili ng matatag na mga kasanayan sa seguridad, tulad ng regular na pag-update ng software, paggamit ng mga maaasahang solusyon sa antivirus, at pag-iingat kapag nakikipag-ugnayan sa mga attachment ng email o nagda-download ng mga file mula sa mga hindi pinagkakatiwalaang mapagkukunan. Sa pamamagitan ng pananatiling kaalaman tungkol sa mga umuusbong na pagbabanta at pagpapatupad ng mga komprehensibong hakbang sa seguridad, mas mapoprotektahan ng mga user ang kanilang sarili laban sa mga aktibidad ng mga aktor ng pagbabanta tulad ng APT35.
