Iranischer APT zielt sowohl auf Windows- als auch auf Mac-Opfer ab

TA453, ein iranischer nationalstaatlicher Akteur, wurde mit einer neuen Welle von Spear-Phishing-Angriffen in Verbindung gebracht, die Windows- und macOS-Betriebssysteme mit Schadsoftware infizieren.

Laut einem aktuellen Bericht von Proofpoint beauftragte TA453 verschiedene Cloud-Hosting-Anbieter mit der Durchführung einer neuen Infektionskette und setzte dabei eine neu identifizierte PowerShell-Hintertür namens GorjolEcho ein.

Darüber hinaus erweiterte TA453 seine Taktiken, indem es versuchte, eine Apple-orientierte Infektionskette namens NokNok zu starten und bei seinem unermüdlichen Streben nach Spionage den Identitätswechsel mehrerer Personen einsetzte.

Frühere Heldentaten des Bedrohungsakteurs

Diese Bedrohungsgruppe, auch bekannt als APT35, Charming Kitten, Mint Sandstorm und Yellow Garuda, hat Verbindungen zum Korps der Islamischen Revolutionsgarden (IRGC) des Iran und ist seit mindestens 2011 aktiv. Volexity hat kürzlich bekannt gegeben, dass sie eine aktualisierte Version des Korps verwenden PowerShell-Implantat CharmPower (auch bekannt als GhostEcho oder POWERSTAR).

Bei einem kürzlich im Mai 2023 von einem Unternehmenssicherheitsunternehmen beobachteten Angriff schickte TA453 Phishing-E-Mails an einen Nuklearsicherheitsexperten einer in den USA ansässigen Denkfabrik mit Schwerpunkt auf Außenpolitik. Diese E-Mails enthielten einen schädlichen Link zu einem Google Script-Makro, das das Ziel zu einer Dropbox-URL umleitete, die ein RAR-Archiv hostete.

Innerhalb dieser Datei initiierte ein LNK-Dropper einen mehrstufigen Prozess, der schließlich GorjolEcho einsetzte. Diese Hintertür zeigte ein gefälschtes PDF-Dokument an, während sie heimlich auf Nutzlasten der nächsten Stufe von einem Remote-Server wartete. Als TA453 jedoch feststellte, dass das Ziel einen Apple-Computer nutzte, änderte es seinen Ansatz. Sie schickten eine zweite E-Mail mit einem ZIP-Archiv, das eine als VPN-Anwendung getarnte Mach-O-Binärdatei enthielt. In Wirklichkeit handelte es sich bei dieser Binärdatei um ein AppleScript, das eine Verbindung zu einem Remote-Server herstellte, um eine auf einem Bash-Skript basierende Hintertür namens NokNok herunterzuladen.

NokNok wiederum hat bis zu vier Module abgerufen, die in der Lage sind, Informationen über laufende Prozesse, installierte Anwendungen, Systemmetadaten zu sammeln und über LaunchAgents Persistenz herzustellen.

Diese Module teilten erhebliche Funktionalitäten mit den mit CharmPower verbundenen Modulen, und NokNok wies Ähnlichkeiten im Quellcode mit macOS-Malware auf, die zuvor im Jahr 2017 der TA453-Gruppe zugeordnet wurde.

Der Bedrohungsakteur nutzte auch eine betrügerische Filesharing-Website, wahrscheinlich um Fingerabdrücke von Besuchern zu erhalten und erfolgreiche Opfer aufzuspüren.