Iransk APT retter sig mod både Windows- og Mac-ofre

TA453, en iransk nationalstatsaktør, er blevet forbundet med en ny bølge af spear-phishing-angreb, der inficerer Windows- og macOS-operativsystemer med ondsindet software.

Ifølge en nylig rapport fra Proofpoint, ansatte TA453 forskellige cloud-hosting-udbydere til at udføre en ny infektionskæde ved at implementere en nyligt identificeret PowerShell-bagdør kaldet GorjolEcho.

Ydermere udvidede TA453 sin taktik ved at forsøge at lancere en Apple-orienteret infektionskæde kaldet NokNok og brugte multi-persona-efterligning i sin ubønhørlige jagt på spionage.

Trusselskuespillers tidligere udnyttelser

Denne trusselgruppe, også kendt som APT35, Charming Kitten, Mint Sandstorm og Yellow Garuda, har forbindelser til Irans Islamiske Revolutionsgarde (IRGC) og har været aktiv siden mindst 2011. Volexity afslørede for nylig deres brug af en opdateret version af PowerShell implantat CharmPower (også kendt som GhostEcho eller POWERSTAR).

I et nyligt angreb observeret af et virksomhedssikkerhedsfirma i maj 2023, sendte TA453 phishing-e-mails til en nuklear sikkerhedsekspert hos en amerikansk-baseret tænketank med fokus på udenrigsanliggender. Disse e-mails indeholdt et ondsindet link til en Google Script-makro, som omdirigerede målet til en Dropbox-URL, der hostede et RAR-arkiv.

Inden for denne fil initierede en LNK-dropper en flertrinsproces, der i sidste ende implementerede GorjolEcho. Denne bagdør viste et lokke-PDF-dokument, mens han hemmeligt ventede på næste trins nyttelast fra en ekstern server. Men efter at have opdaget, at målet brugte en Apple-computer, ændrede TA453 sin tilgang. De sendte en anden e-mail med et ZIP-arkiv indeholdende en Mach-O binær forklædt som en VPN-applikation. I virkeligheden var denne binære et AppleScript, der forbindes til en fjernserver for at downloade en Bash-script-baseret bagdør kendt som NokNok.

NokNok hentede til gengæld op til fire moduler, der var i stand til at indsamle information om kørende processer, installerede applikationer, systemmetadata og etablere persistens gennem LaunchAgents.

Disse moduler delte betydelig funktionalitet med modulerne forbundet med CharmPower, og NokNok udviste ligheder i kildekode med macOS-malware, der tidligere blev tilskrevet TA453-gruppen i 2017.

Trusselsaktøren brugte også et svigagtigt fildelingswebsted, sandsynligvis som et middel til at fingeraftryk besøgende og spore succesfulde ofre.