Giảm giá nhiều giấy phép
Threat Database Mac Malware Phần mềm độc hại NokNok Mac

Phần mềm độc hại NokNok Mac

Đến năm Mezo năm Mac Malware, Advanced Persistent Threat (APT), Backdoors
Dịch sang:
Tiếng Việt Nam

Tác nhân tội phạm mạng cấp quốc gia được xác định là APT35 từ Iran có liên quan đến làn sóng tấn công lừa đảo trực tuyến có chủ đích ảnh hưởng đến cả hệ điều hành Windows và macOS. Các cuộc tấn công này nhằm mục đích xâm nhập vào hệ thống bằng các công cụ phần mềm độc hại chuyên dụng. Phân tích các cuộc tấn công APT35 cho thấy tin tặc đã sử dụng nhiều nhà cung cấp dịch vụ lưu trữ đám mây khác nhau để thiết lập một chuỗi lây nhiễm duy nhất.

Tội phạm mạng cũng sử dụng hai mối đe dọa phần mềm độc hại chưa biết trước đây. Trên các hệ thống Windows, APT35 đã sử dụng một cửa hậu PowerShell mới được phát hiện có tên là GorjolEcho. Ngoài ra, nếu nạn nhân bị phát hiện đang sử dụng thiết bị Apple, tin tặc sẽ chuyển sang chuỗi lây nhiễm đã sửa đổi có liên quan đến mối đe dọa phần mềm độc hại Mac được theo dõi là NokNok.

Điều này cho thấy nỗ lực khai thác các lỗ hổng dành riêng cho macOS của kẻ tấn công.

Nhóm tội phạm mạng APT35 tiếp tục phát triển các kỹ thuật tấn công lừa đảo

APT35, còn được gọi là Charming Kitten, TA453, Mint Sandstorm và Yellow Garuda, là một nhóm đe dọa nổi bật có quan hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC). Nhóm này đã hoạt động ít nhất là từ năm 2011, tham gia vào các hoạt động mạng khác nhau nhắm vào các cá nhân và tổ chức. Trong quá trình theo đuổi không ngừng các hoạt động gián điệp, APT35 đã sử dụng một chiến thuật được gọi là mạo danh nhiều người, liên quan đến việc các tác nhân đe dọa giả định nhiều danh tính để đánh lừa mục tiêu và giành quyền truy cập trái phép vào thông tin nhạy cảm.

Những kỹ thuật tinh vi này được APT35 sử dụng làm nổi bật những nỗ lực không ngừng của chúng nhằm thực hiện các hoạt động gián điệp mạng có chủ đích. Nhóm này lựa chọn một cách có chiến lược các mục tiêu nổi tiếng và sử dụng nhiều chiến thuật khác nhau, chẳng hạn như lừa đảo và sử dụng các công cụ tùy chỉnh, để xâm phạm hệ thống và giành quyền truy cập trái phép vào thông tin nhạy cảm. APT35 đã được quan sát thấy là đã cập nhật chiến thuật của mình bằng cách sử dụng phiên bản nâng cao của bộ cấy PowerShell được gọi là POWERSTAR , còn được gọi là GhostEcho hoặc CharmPower.

Trong một chuỗi tấn công cụ thể xảy ra vào giữa tháng 5 năm 2023, các tác nhân đe dọa từ APT35 đã phát động một chiến dịch lừa đảo. Mục tiêu của họ là một chuyên gia an ninh hạt nhân liên kết với một tổ chức cố vấn có trụ sở tại Hoa Kỳ tập trung vào các vấn đề đối ngoại. Cuộc tấn công đòi hỏi phải gửi các email lừa đảo có chứa một liên kết độc hại được ngụy trang dưới dạng macro Google Script. Sau khi được nhấp vào, liên kết sẽ chuyển hướng mục tiêu đến URL Dropbox lưu trữ tệp lưu trữ RAR.

APT35 đã sử dụng các chuỗi tấn công khác nhau để xâm phạm người dùng Apple bằng phần mềm độc hại NokNok

Nếu mục tiêu được chọn đang sử dụng thiết bị Apple, APT35 được cho là đã điều chỉnh các phương pháp của mình và thực hiện một chiến thuật phụ. Điều này liên quan đến việc gửi email thứ hai chứa tệp lưu trữ ZIP kết hợp tệp nhị phân Mach-O. Tệp được ngụy trang dưới dạng một ứng dụng VPN, nhưng trên thực tế, nó hoạt động như một AppleScript. Khi được thực thi, tập lệnh này sẽ thiết lập kết nối với một máy chủ từ xa để bắt đầu tải xuống một cửa hậu có tên NokNok.

Cửa hậu NokNok, khi cài đặt, truy xuất tối đa bốn mô-đun có nhiều khả năng khác nhau. Các mô-đun này cho phép thu thập thông tin như quy trình đang chạy, ứng dụng đã cài đặt và siêu dữ liệu hệ thống. Ngoài ra, chúng tạo điều kiện thuận lợi cho việc thiết lập tính bền vững trong hệ thống bị xâm nhập bằng cách sử dụng LaunchAgents.

Đáng chú ý là chức năng của các mô-đun này rất giống với các mô-đun được liên kết với POWERSTAR, một công cụ đã được xác định trước đây được APT35 sử dụng. Điều này cho thấy có sự trùng lặp đáng kể về khả năng và mục đích của hai chủng phần mềm độc hại. Hơn nữa, NokNok thể hiện sự tương đồng về mã với phần mềm độc hại macOS trước đây được quy cho cùng một nhóm tội phạm mạng vào năm 2017.

Để tăng cường hơn nữa chiến thuật của mình, tin tặc cũng thành lập một trang web chia sẻ tệp lừa đảo. Trang web này có thể phục vụ như một cách để lấy dấu vân tay của khách truy cập, thu thập thông tin về các nạn nhân tiềm năng và hoạt động như một cơ chế theo dõi để giám sát sự thành công của các cuộc tấn công của họ.

Các kỹ thuật thích ứng này được TA453 sử dụng thể hiện những nỗ lực không ngừng của họ nhằm nhắm mục tiêu người dùng Apple và khai thác hệ thống của họ. Nó nhấn mạnh tầm quan trọng của việc duy trì các biện pháp bảo mật mạnh mẽ, chẳng hạn như thường xuyên cập nhật phần mềm, sử dụng các giải pháp chống vi-rút đáng tin cậy và thận trọng khi tương tác với tệp đính kèm email hoặc tải xuống tệp từ các nguồn không đáng tin cậy. Bằng cách cập nhật thông tin về các mối đe dọa đang phát triển và triển khai các biện pháp bảo mật toàn diện, người dùng có thể tự bảo vệ mình tốt hơn trước các hoạt động của các tác nhân đe dọa như APT35.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...