NokNok Mac 恶意软件

来自伊朗的 APT35 民族国家网络犯罪分子与一波影响 Windows 和 macOS 操作系统的针对性鱼叉式网络钓鱼攻击有关。这些攻击旨在使用专门的恶意软件工具渗透系统。对APT35攻击的分析表明，黑客利用了各种云托管提供商来建立独特的感染链。

网络犯罪分子还利用了两种以前未知的恶意软件威胁。在 Windows 系统上，APT35 利用了新发现的名为 GorjolEcho 的 PowerShell 后门。或者，如果发现受害者使用的是 Apple 设备，黑客就会转向修改后的感染链，其中涉及被跟踪为 NokNok 的 Mac 恶意软件威胁。

这表明攻击者试图利用 macOS 特有的漏洞。

APT35 网络犯罪组织继续发展其鱼叉式网络钓鱼技术

APT35，也称为 Charming Kitten、TA453、Mint Sandstorm 和 Yellow Garuda，是一个与伊朗伊斯兰革命卫队 (IRGC) 有联系的著名威胁组织。该组织至少自 2011 年以来一直活跃，从事针对个人和组织的各种网络行动。在不懈地追捕间谍活动的过程中，APT35 采用了一种称为“多重身份模仿”的策略，其中威胁行为者冒充多个身份来欺骗目标并获得对敏感信息的未经授权的访问。

APT35 采用的这些复杂技术突显了他们为开展有针对性的网络间谍活动所做的持续努力。该组织战略性地选择引人注目的目标，并采用各种策略（例如网络钓鱼和使用定制工具）来破坏系统并获得对敏感信息的未经授权的访问。据观察，APT35 通过利用增强版 PowerShell 植入程序（称为POWERSTAR ，也称为 GhostEcho 或 CharmPower）更新了其策略。

在 2023 年 5 月中旬发生的一次特定攻击序列中，来自 APT35 的威胁参与者发起了网络钓鱼活动。他们的目标是与美国一家专注于外交事务的智库有联系的核安全专家。该攻击需要发送欺骗性电子邮件，其中包含伪装成 Google Script 宏的恶意链接。单击后，该链接会将目标重定向到托管 RAR 存档的 Dropbox URL。

APT35 利用不同的攻击链通过 NokNok 恶意软件危害苹果用户

据报道，如果选定的目标使用的是苹果设备，APT35 就会调整其方法并执行辅助策略。这涉及发送第二封电子邮件，其中包含包含 Mach-O 二进制文件的 ZIP 存档。该文件将自己伪装成 VPN 应用程序，但实际上，它的功能是 AppleScript。执行时，该脚本会与远程服务器建立连接，以启动名为 NokNok 的后门的下载。

NokNok 后门在安装后会检索最多四个具有各种功能的模块。这些模块可以收集正在运行的进程、已安装的应用程序和系统元数据等信息。此外，它们还通过利用 LaunchAgents 促进在受感染系统内建立持久性。

值得注意的是，这些模块的功能与 POWERSTAR（APT35 先前确定的工具）相关的模块非常相似。这表明这两种恶意软件菌株的功能和目的存在显着重叠。此外，NokNok 与 macOS 恶意软件的代码相似，此前该恶意软件曾在 2017 年被归咎于同一网络犯罪组织。

为了进一步增强他们的策略，黑客还建立了一个欺诈性文件共享网站。该网站可能是一种对访问者进行指纹识别、收集有关潜在受害者的信息并充当监控其攻击是否成功的跟踪机制的方式。

TA453 采用的这些自适应技术表明他们正在努力瞄准 Apple 用户并利用他们的系统。它强调了维护强大的安全实践的重要性，例如定期更新软件、采用可靠的防病毒解决方案以及在与电子邮件附件交互或从不受信任的来源下载文件时保持谨慎。通过随时了解不断变化的威胁并实施全面的安全措施，用户可以更好地保护自己免受 APT35 等威胁行为者的活动。