NokNok Mac Kötü Amaçlı Yazılımı

İran'dan APT35 olarak tanımlanan ulus-devlet siber suç aktörü, hem Windows hem de macOS işletim sistemlerini etkileyen bir hedefli hedefli kimlik avı saldırısı dalgasıyla ilişkilendirildi. Bu saldırılar, özel kötü amaçlı yazılım araçlarıyla sistemlere sızmayı amaçlar. APT35 saldırılarının analizi, bilgisayar korsanlarının benzersiz bir enfeksiyon zinciri oluşturmak için çeşitli bulut barındırma sağlayıcıları kullandığını ortaya çıkardı.

Siber suçlular ayrıca önceden bilinmeyen iki kötü amaçlı yazılım tehdidi kullandı. Windows sistemlerinde APT35, GorjolEcho adlı yeni keşfedilen bir PowerShell arka kapısını kullandı. Alternatif olarak, kurbanların bir Apple cihazı kullandığı tespit edilirse bilgisayar korsanları, NokNok olarak izlenen bir Mac kötü amaçlı yazılım tehdidini içeren değiştirilmiş bir bulaşma zincirine geçti.

Bu, aktörün macOS'a özgü güvenlik açıklarından yararlanma girişimlerini gösterir.

APT35 Siber Suç Grubu Spear-Phishing Tekniklerini Geliştirmeye Devam Ediyor

Charming Kitten, TA453, Mint Sandstorm ve Yellow Garuda olarak da bilinen APT35, İran İslam Devrim Muhafızları Birliği (IRGC) ile bağlantılı önde gelen bir tehdit grubudur. Bu grup, en az 2011'den beri aktiftir ve bireyleri ve kuruluşları hedef alan çeşitli siber operasyonlarda yer almaktadır. APT35, amansız casusluk faaliyetlerinde, çok kişili kimliğe bürünme olarak bilinen ve tehdit aktörlerinin hedefleri aldatmak ve hassas bilgilere yetkisiz erişim elde etmek için birden fazla kimliğe bürünmesini içeren bir taktik kullandı.

APT35 tarafından kullanılan bu gelişmiş teknikler, hedeflenen siber casusluk operasyonlarını yürütmek için devam eden çabalarını vurgulamaktadır. Grup stratejik olarak yüksek profilli hedefler seçer ve sistemleri tehlikeye atmak ve hassas bilgilere yetkisiz erişim elde etmek için kimlik avı ve özel olarak oluşturulmuş araçların kullanımı gibi çeşitli taktikler kullanır. APT35'in, GhostEcho veya CharmPower olarak da adlandırılan POWERSTAR olarak bilinen bir PowerShell implantının gelişmiş bir sürümünü kullanarak taktiklerini güncellediği gözlemlendi.

2023 yılının Mayıs ayının ortalarında gerçekleşen belirli bir saldırı dizisinde, APT35'ten gelen tehdit aktörleri bir kimlik avı kampanyası başlattı. Hedefleri, dış ilişkilere odaklanan ABD merkezli bir düşünce kuruluşuyla ilişkili bir nükleer güvenlik uzmanıydı. Saldırı, Google Script makrosu kılığında kötü amaçlı bir bağlantı içeren aldatıcı e-postalar göndermeyi gerektirdi. Bağlantı tıklandığında, hedefi bir RAR arşivi barındıran bir Dropbox URL'sine yönlendirdi.

APT35, Apple Kullanıcılarını NokNok Kötü Amaçlı Yazılımıyla Ele Geçirmek İçin Farklı Saldırı Zincirleri Kullandı

Seçilen hedef bir Apple cihazı kullanıyorsa, APT35'in yöntemlerini ayarladığı ve ikincil bir taktik uyguladığı bildirildi. Bu, bir Mach-O ikili dosyası içeren bir ZIP arşivi içeren ikinci bir e-postanın gönderilmesini içeriyordu. Dosya kendisini bir VPN uygulaması olarak gizledi, ancak gerçekte bir AppleScript olarak işlev gördü. Yürütüldüğünde, bu betik, NokNok adlı bir arka kapının indirilmesini başlatmak için uzak bir sunucuyla bağlantı kurar.

NokNok arka kapısı, kurulumun ardından çeşitli yeteneklere sahip dört adede kadar modülü alır. Bu modüller, çalışan işlemler, kurulu uygulamalar ve sistem meta verileri gibi bilgilerin toplanmasını sağlar. Ek olarak, LaunchAgent'ları kullanarak güvenliği ihlal edilmiş sistem içinde kalıcılığın kurulmasını kolaylaştırırlar.

Özellikle, bu modüllerin işlevselliği, APT35 tarafından kullanılan önceden tanımlanmış bir araç olan POWERSTAR ile ilişkili modüllerle çarpıcı bir benzerlik taşımaktadır. Bu, iki kötü amaçlı yazılım türünün yeteneklerinde ve amacında önemli bir örtüşmeyi gösterir. Ayrıca NokNok, daha önce 2017'de aynı siber suç grubuna atfedilen macOS kötü amaçlı yazılımıyla kod benzerlikleri sergiliyor.

Bilgisayar korsanları, taktiklerini daha da geliştirmek için sahte bir dosya paylaşım sitesi de kurdu. Bu web sitesi muhtemelen ziyaretçilerin parmak izini almanın, potansiyel kurbanlar hakkında bilgi toplamanın ve saldırılarının başarısını izlemek için bir izleme mekanizması işlevi görmenin bir yolu olarak hizmet ediyor.

TA453 tarafından kullanılan bu uyarlanabilir teknikler, Apple kullanıcılarını hedeflemek ve sistemlerini kullanmak için devam eden çabalarını göstermektedir. Düzenli olarak yazılım güncellemek, güvenilir antivirüs çözümleri kullanmak ve e-posta ekleriyle etkileşim kurarken veya güvenilmeyen kaynaklardan dosya indirirken dikkatli olmak gibi güçlü güvenlik uygulamalarını sürdürmenin önemini vurgular. Kullanıcılar gelişen tehditler hakkında bilgi sahibi olarak ve kapsamlı güvenlik önlemleri uygulayarak APT35 gibi tehdit aktörlerinin faaliyetlerine karşı kendilerini daha iyi koruyabilirler.