Το ιρανικό APT στοχεύει θύματα Windows και Mac

Ο TA453, ένας ιρανικός παράγοντας έθνους-κράτους, έχει συνδεθεί με ένα νέο κύμα επιθέσεων spear-phishing που μολύνουν τα λειτουργικά συστήματα Windows και macOS με κακόβουλο λογισμικό.

Σύμφωνα με μια πρόσφατη αναφορά από το Proofpoint, το TA453 χρησιμοποίησε διάφορους παρόχους φιλοξενίας cloud για να εκτελέσει μια νέα αλυσίδα μόλυνσης, αναπτύσσοντας μια νέα κερκόπορτα PowerShell που ονομάζεται GorjolEcho.

Επιπλέον, το TA453 επέκτεινε τις τακτικές του επιχειρώντας να ξεκινήσει μια αλυσίδα μόλυνσης προσανατολισμένη στην Apple που ονομάζεται NokNok και χρησιμοποίησε την πλαστοπροσωπία πολλαπλών προσώπων στην αδυσώπητη επιδίωξη της κατασκοπείας.

Threat Actor's Past Exploits

Αυτή η ομάδα απειλών, γνωστή και ως APT35, Charming Kitten, Mint Sandstorm και Yellow Garuda, έχει δεσμούς με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC) του Ιράν και είναι ενεργή τουλάχιστον από το 2011. Η Volexity αποκάλυψε πρόσφατα ότι χρησιμοποιούν μια ενημερωμένη έκδοση του Εμφύτευμα PowerShell CharmPower (γνωστό και ως GhostEcho ή POWERSTAR).

Σε μια πρόσφατη επίθεση που παρατήρησε μια εταιρεία ασφάλειας επιχειρήσεων τον Μάιο του 2023, η TA453 έστειλε μηνύματα ηλεκτρονικού ψαρέματος σε έναν ειδικό πυρηνικής ασφάλειας σε μια δεξαμενή σκέψης με έδρα τις ΗΠΑ που επικεντρώνεται στις εξωτερικές υποθέσεις. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν έναν κακόβουλο σύνδεσμο προς μια μακροεντολή Google Script, η οποία ανακατεύθυνε τον στόχο σε μια διεύθυνση URL του Dropbox που φιλοξενούσε ένα αρχείο RAR.

Μέσα σε αυτό το αρχείο, ένα dropper LNK ξεκίνησε μια διαδικασία πολλαπλών σταδίων που τελικά ανέπτυξε το GorjolEcho. Αυτή η κερκόπορτα εμφάνιζε ένα αποκαλυπτικό έγγραφο PDF ενώ περίμενε κρυφά τα ωφέλιμα φορτία του επόμενου σταδίου από έναν απομακρυσμένο διακομιστή. Ωστόσο, όταν ανακάλυψε ότι ο στόχος χρησιμοποιούσε υπολογιστή Apple, το TA453 τροποποίησε την προσέγγισή του. Έστειλαν ένα δεύτερο email με ένα αρχείο ZIP που περιείχε ένα δυαδικό Mach-O μεταμφιεσμένο σε εφαρμογή VPN. Στην πραγματικότητα, αυτό το δυαδικό αρχείο ήταν ένα AppleScript που συνδέθηκε με έναν απομακρυσμένο διακομιστή για να κατεβάσει μια κερκόπορτα που βασίζεται σε σενάρια Bash, γνωστή ως NokNok.

Η NokNok, με τη σειρά της, ανέκτησε έως και τέσσερις λειτουργικές μονάδες ικανές να συλλέγουν πληροφορίες σχετικά με τις διεργασίες που εκτελούνται, τις εγκατεστημένες εφαρμογές, τα μεταδεδομένα του συστήματος και τη δημιουργία εμμονής μέσω του LaunchAgents.

Αυτές οι μονάδες μοιράζονταν σημαντική λειτουργικότητα με τις λειτουργικές μονάδες που σχετίζονται με το CharmPower και το NokNok παρουσίασε ομοιότητες στον πηγαίο κώδικα με το κακόβουλο λογισμικό macOS που προηγουμένως αποδόθηκε στην ομάδα TA453 το 2017.

Ο ηθοποιός της απειλής χρησιμοποίησε επίσης έναν δόλιο ιστότοπο κοινής χρήσης αρχείων, πιθανότατα ως μέσο για να αποτυπώσει τους επισκέπτες και να παρακολουθήσει επιτυχημένα θύματα.