L'APT iraniano prende di mira sia le vittime Windows che Mac

TA453, un attore dello stato-nazione iraniano, è stato collegato a una nuova ondata di attacchi di spear-phishing che infettano i sistemi operativi Windows e macOS con software dannoso.

Secondo un recente rapporto di Proofpoint, TA453 ha impiegato vari provider di cloud hosting per eseguire una nuova catena di infezione, implementando una backdoor di PowerShell appena identificata chiamata GorjolEcho.

Inoltre, TA453 ha ampliato le sue tattiche tentando di lanciare una catena di infezione orientata alla Apple chiamata NokNok e ha impiegato la rappresentazione di più persone nella sua incessante ricerca di spionaggio.

Gli exploit passati dell'attore della minaccia

Questo gruppo di minaccia, noto anche come APT35, Charming Kitten, Mint Sandstorm e Yellow Garuda, ha legami con il Corpo delle guardie rivoluzionarie islamiche (IRGC) dell'Iran ed è attivo almeno dal 2011. Volexity ha recentemente rivelato di aver utilizzato una versione aggiornata del Impianto PowerShell CharmPower (noto anche come GhostEcho o POWERSTAR).

In un recente attacco osservato da una società di sicurezza aziendale nel maggio 2023, TA453 ha inviato e-mail di phishing a un esperto di sicurezza nucleare presso un think tank con sede negli Stati Uniti focalizzato sugli affari esteri. Queste e-mail contenevano un collegamento dannoso a una macro di Google Script, che reindirizzava il bersaglio a un URL di Dropbox che ospitava un archivio RAR.

All'interno di questo file, un dropper LNK ha avviato un processo in più fasi che alla fine ha distribuito GorjolEcho. Questa backdoor mostrava un documento PDF esca mentre attendeva segretamente i payload della fase successiva da un server remoto. Tuttavia, dopo aver scoperto che l'obiettivo utilizzava un computer Apple, TA453 ha modificato il suo approccio. Hanno inviato una seconda e-mail con un archivio ZIP contenente un binario Mach-O camuffato da applicazione VPN. In realtà, questo binario era un AppleScript connesso a un server remoto per scaricare una backdoor basata su script Bash nota come NokNok.

NokNok, a sua volta, ha recuperato fino a quattro moduli in grado di raccogliere informazioni su processi in esecuzione, applicazioni installate, metadati di sistema e stabilire la persistenza tramite LaunchAgents.

Questi moduli condividevano funzionalità significative con i moduli associati a CharmPower e NokNok ha mostrato somiglianze nel codice sorgente con il malware macOS precedentemente attribuito al gruppo TA453 nel 2017.

L'autore della minaccia ha anche utilizzato un sito Web fraudolento di condivisione di file, probabilmente come mezzo per rilevare le impronte digitali dei visitatori e tracciare le vittime riuscite.