APT iraní apunta a víctimas de Windows y Mac

TA453, un actor de estado-nación iraní, se ha relacionado con una nueva ola de ataques de phishing selectivo que infectan los sistemas operativos Windows y macOS con software malicioso.

Según un informe reciente de Proofpoint, TA453 empleó varios proveedores de alojamiento en la nube para ejecutar una nueva cadena de infección, implementando una puerta trasera de PowerShell recientemente identificada llamada GorjolEcho.

Además, TA453 amplió sus tácticas al intentar lanzar una cadena de infección orientada a Apple llamada NokNok y empleó la suplantación de identidad de varias personas en su incesante búsqueda de espionaje.

Hazañas pasadas del actor de amenazas

Este grupo de amenazas, también conocido como APT35, Charming Kitten, Mint Sandstorm y Yellow Garuda, tiene vínculos con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y ha estado activo desde al menos 2011. Volexity reveló recientemente su uso de una versión actualizada del PowerShell implanta CharmPower (también conocido como GhostEcho o POWERSTAR).

En un ataque reciente observado por una empresa de seguridad empresarial en mayo de 2023, TA453 envió correos electrónicos de phishing a un experto en seguridad nuclear en un grupo de expertos con sede en EE. UU. centrado en asuntos exteriores. Estos correos electrónicos contenían un enlace malicioso a una macro de Google Script, que redirigía al objetivo a una URL de Dropbox que albergaba un archivo RAR.

Dentro de este archivo, un cuentagotas LNK inició un proceso de varias etapas que finalmente implementó GorjolEcho. Esta puerta trasera mostraba un documento PDF señuelo mientras esperaba en secreto las cargas útiles de la próxima etapa desde un servidor remoto. Sin embargo, al descubrir que el objetivo estaba usando una computadora Apple, TA453 modificó su enfoque. Enviaron un segundo correo electrónico con un archivo ZIP que contenía un binario Mach-O disfrazado de aplicación VPN. En realidad, este binario era un AppleScript que se conectaba a un servidor remoto para descargar un backdoor basado en un script Bash conocido como NokNok.

NokNok, a su vez, recuperó hasta cuatro módulos capaces de recopilar información sobre procesos en ejecución, aplicaciones instaladas, metadatos del sistema y establecer persistencia a través de LaunchAgents.

Estos módulos compartían una funcionalidad significativa con los módulos asociados con CharmPower, y NokNok exhibió similitudes en el código fuente con el malware macOS previamente atribuido al grupo TA453 en 2017.

El actor de amenazas también utilizó un sitio web fraudulento para compartir archivos, probablemente como un medio para tomar las huellas dactilares de los visitantes y rastrear a las víctimas exitosas.