Шкідливе програмне забезпечення для Mac NokNok

Національного кіберзлочинця, ідентифікованого як APT35 з Ірану, пов’язують з хвилею цілеспрямованих фішингових атак, які впливають на операційні системи Windows і macOS. Ці атаки спрямовані на проникнення в системи спеціалізованих інструментів зловмисного програмного забезпечення. Аналіз атак APT35 показав, що хакери використовували різних провайдерів хмарного хостингу для створення унікального ланцюга зараження.

Кіберзлочинці також застосували дві раніше невідомі шкідливі програми. У системах Windows APT35 використовував нещодавно виявлений бекдор PowerShell під назвою GorjolEcho. Крім того, якщо було виявлено, що жертви використовували пристрій Apple, хакери перемикалися на модифікований ланцюг зараження, який включав загрозу зловмисного програмного забезпечення Mac, відстежувану як NokNok.

Це показує спроби актора використати вразливості, характерні для macOS.

Кіберзлочинна група APT35 продовжує розвивати свої методи фішингу

APT35, також відомий як «Чарівне кошеня», TA453, «М’ятна піщана буря» та «Жовта Гаруда», є відомою групою загроз, пов’язаною з Корпусом вартових ісламської революції (КВІР) Ірану. Ця група діє принаймні з 2011 року, беручи участь у різноманітних кіберопераціях, націлених на окремих осіб та організації. У своїй невпинній гонитві за шпигунською діяльністю APT35 застосував тактику, відому як видавання себе за іншу особу, яка передбачає використання учасниками загрози кількох ідентифікацій для обману цілей і отримання несанкціонованого доступу до конфіденційної інформації.

Ці складні методи, які використовує APT35, підкреслюють їхні поточні зусилля щодо проведення цілеспрямованих операцій кібершпигунства. Група стратегічно вибирає високопоставлені цілі та використовує різні тактики, такі як фішинг і використання спеціально створених інструментів, щоб зламати системи та отримати несанкціонований доступ до конфіденційної інформації. Було помічено, що APT35 оновив свою тактику, використовуючи вдосконалену версію імпланта PowerShell, відому як POWERSTAR , також відому як GhostEcho або CharmPower.

У конкретній послідовності атак, яка сталася в середині травня 2023 року, зловмисники з APT35 запустили фішингову кампанію. Їхньою ціллю був експерт з ядерної безпеки, пов’язаний із американським мозковим центром, який займався зовнішніми справами. Атака передбачала надсилання оманливих електронних листів із шкідливим посиланням, замаскованим під макрос Google Script. Після натискання посилання перенаправляло ціль на URL-адресу Dropbox, де розміщено архів RAR.

APT35 використовував різні ланцюги атак, щоб скомпрометувати користувачів Apple шкідливим програмним забезпеченням NokNok

Якщо обрана ціль використовує пристрій Apple, APT35, як повідомляється, скорегував свої методи та застосував додаткову тактику. Для цього було надіслано другу електронну пошту з ZIP-архівом, який містив двійковий файл Mach-O. Файл маскувався під додаток VPN, але насправді він функціонував як AppleScript. Після виконання цей сценарій встановлює з’єднання з віддаленим сервером, щоб ініціювати завантаження бекдора під назвою NokNok.

Бекдор NokNok після інсталяції отримує до чотирьох модулів з різними можливостями. Ці модулі дозволяють збирати таку інформацію, як запущені процеси, встановлені програми та системні метадані. Крім того, вони полегшують встановлення стійкості в скомпрометованій системі за допомогою LaunchAgents.

Примітно, що функціональність цих модулів має разючу схожість з модулями, пов’язаними з POWERSTAR, раніше ідентифікованим інструментом, який використовується APT35. Це вказує на значне збігання можливостей і призначення двох типів зловмисного програмного забезпечення. Крім того, NokNok демонструє схожість коду зі зловмисним програмним забезпеченням macOS, яке раніше відносили до тієї ж групи кіберзлочинців у 2017 році.

Щоб ще більше вдосконалити свою тактику, хакери також створили шахрайський веб-сайт для обміну файлами. Цей веб-сайт, імовірно, служить способом зняття відбитків пальців відвідувачів, збору інформації про потенційних жертв і діє як механізм відстеження для відстеження успішності їхніх атак.

Ці адаптивні методи, які використовує TA453, демонструють їхні постійні зусилля, спрямовані на користувачів Apple і використання їхніх систем. Це підкреслює важливість дотримання надійних методів безпеки, таких як регулярне оновлення програмного забезпечення, використання надійних антивірусних рішень і дотримання обережності під час взаємодії з вкладеннями електронної пошти або завантаження файлів із ненадійних джерел. Залишаючись в курсі нових загроз і впроваджуючи комплексні заходи безпеки, користувачі можуть краще захистити себе від дій загрозливих суб’єктів, таких як APT35.