Az iráni APT a Windows és a Mac áldozatait is megcélozza

A TA453, egy iráni nemzetállami szereplő, egy újabb lándzsás adathalász támadáshoz kapcsolódik, amely rosszindulatú szoftverekkel fertőzi meg a Windows és a macOS operációs rendszereket.

A Proofpoint legújabb jelentése szerint a TA453 különböző felhőtárhely-szolgáltatókat alkalmazott egy új fertőzési lánc végrehajtására, egy újonnan azonosított PowerShell-hátsó ajtót, a GorjolEcho-t telepítve.

Ezenkívül a TA453 kibővítette taktikáját azzal, hogy megpróbált elindítani egy Apple-orientált fertőzési láncot NokNok néven, és többszemélyes megszemélyesítést alkalmazott a kémkedés könyörtelen törekvése során.

Fenyegető színész múltbeli hőstettei

Ez a fenyegetett csoport, más néven APT35, Charming Kitten, Mint Sandstorm és Yellow Garuda, kapcsolatban áll az iráni Iszlám Forradalmi Gárda Hadtesttel (IRGC), és legalább 2011 óta aktív. A Volexity nemrégiben felfedte, hogy használják a frissített verziót. PowerShell CharmPower implantátum (más néven GhostEcho vagy POWERSTAR).

Egy vállalati biztonsági cég által 2023 májusában észlelt közelmúltbeli támadás során a TA453 adathalász e-maileket küldött egy amerikai székhelyű, külügyekkel foglalkozó agytröszt nukleáris biztonsági szakértőjének. Ezek az e-mailek egy rosszindulatú linket tartalmaztak egy Google Script makróra, amely átirányította a célt egy RAR archívumot tároló Dropbox URL-re.

Ezen a fájlon belül egy LNK dropper többlépcsős folyamatot indított el, amely végül telepítette a GorjolEcho-t. Ez a hátsó ajtó egy csali PDF-dokumentumot jelenített meg, miközben titokban egy távoli szerverről várt a következő lépcsős rakományokra. Amikor azonban felfedezte, hogy a célpont Apple számítógépet használ, a TA453 módosította a megközelítését. Küldtek egy második e-mailt egy ZIP-archívummal, amely egy VPN-alkalmazásnak álcázott Mach-O bináris fájlt tartalmazott. A valóságban ez a bináris egy AppleScript volt, amely egy távoli szerverhez csatlakozott, hogy letöltse a NokNok néven ismert Bash szkript alapú hátsó ajtót.

A NokNok pedig akár négy modult is letöltött, amelyek képesek információkat gyűjteni a futó folyamatokról, a telepített alkalmazásokról, a rendszer metaadatairól, és a LaunchAgents segítségével állandóságot teremteni.

Ezek a modulok jelentős funkcionalitásban osztoztak a CharmPowerhez társított modulokkal, és a NokNok forráskódban hasonlóságot mutatott a korábban 2017-ben a TA453 csoporthoz tartozó macOS kártevőkkel.

A fenyegetőző egy csalárd fájlmegosztó webhelyet is használt, valószínűleg ujjlenyomat lenyomtatására és a sikeres áldozatok nyomon követésére.