NokNok Mac 惡意軟件

來自伊朗的 APT35 民族國家網絡犯罪分子與一波影響 Windows 和 macOS 操作系統的針對性魚叉式網絡釣魚攻擊有關。這些攻擊旨在使用專門的惡意軟件工具滲透系統。對APT35攻擊的分析表明，黑客利用了各種雲託管提供商來建立獨特的感染鏈。

網絡犯罪分子還利用了兩種以前未知的惡意軟件威脅。在 Windows 系統上，APT35 利用了新發現的名為 GorjolEcho 的 PowerShell 後門。或者，如果發現受害者使用的是 Apple 設備，黑客就會轉向修改後的感染鏈，其中涉及被跟踪為 NokNok 的 Mac 惡意軟件威脅。

這表明攻擊者試圖利用 macOS 特有的漏洞。

APT35 網絡犯罪組織繼續發展其魚叉式網絡釣魚技術

APT35，也稱為 Charming Kitten、TA453、Mint Sandstorm 和 Yellow Garuda，是一個與伊朗伊斯蘭革命衛隊 (IRGC) 有聯繫的著名威脅組織。該組織至少自 2011 年以來一直活躍，從事針對個人和組織的各種網絡行動。在不懈地追捕間諜活動的過程中，APT35 採用了一種稱為“多重身份模仿”的策略，其中威脅行為者冒充多個身份來欺騙目標並獲得對敏感信息的未經授權的訪問。

APT35 採用的這些複雜技術突顯了他們為開展有針對性的網絡間諜活動所做的持續努力。該組織戰略性地選擇引人注目的目標，並採用各種策略（例如網絡釣魚和使用定制工具）來破壞系統並獲得對敏感信息的未經授權的訪問。據觀察，APT35 通過利用增強版 PowerShell 植入程序（稱為POWERSTAR ，也稱為 GhostEcho 或 CharmPower）更新了其策略。

在 2023 年 5 月中旬發生的一次特定攻擊序列中，來自 APT35 的威脅參與者發起了網絡釣魚活動。他們的目標是與美國一家專注於外交事務的智庫有聯繫的核安全專家。該攻擊需要發送欺騙性電子郵件，其中包含偽裝成 Google Script 宏的惡意鏈接。單擊後，該鏈接會將目標重定向到託管 RAR 存檔的 Dropbox URL。

APT35 利用不同的攻擊鏈通過 NokNok 惡意軟件危害蘋果用戶

據報導，如果選定的目標使用的是蘋果設備，APT35 就會調整其方法並執行輔助策略。這涉及發送第二封電子郵件，其中包含包含 Mach-O 二進製文件的 ZIP 存檔。該文件將自己偽裝成 VPN 應用程序，但實際上，它的功能是 AppleScript。執行時，該腳本會與遠程服務器建立連接，以啟動名為 NokNok 的後門的下載。

NokNok 後門在安裝後會檢索最多四個具有各種功能的模塊。這些模塊可以收集正在運行的進程、已安裝的應用程序和系統元數據等信息。此外，它們還通過利用 LaunchAgents 促進在受感染系統內建立持久性。

值得注意的是，這些模塊的功能與 POWERSTAR（APT35 先前確定的工具）相關的模塊非常相似。這表明這兩種惡意軟件菌株的功能和目的存在顯著重疊。此外，NokNok 與 macOS 惡意軟件的代碼相似，此前該惡意軟件曾在 2017 年被歸咎於同一網絡犯罪組織。

為了進一步增強他們的策略，黑客還建立了一個欺詐性文件共享網站。該網站可能是一種對訪問者進行指紋識別、收集有關潛在受害者的信息並充當監控其攻擊是否成功的跟踪機制的方式。

TA453 採用的這些自適應技術表明他們正在努力瞄準 Apple 用戶並利用他們的系統。它強調了維護強大的安全實踐的重要性，例如定期更新軟件、採用可靠的防病毒解決方案以及在與電子郵件附件交互或從不受信任的來源下載文件時保持謹慎。通過隨時了解不斷變化的威脅並實施全面的安全措施，用戶可以更好地保護自己免受 APT35 等威脅行為者的活動。