イランの APT、Windows と Mac の両方の被害者を狙う

イランの国民国家攻撃者である TA453 は、Windows および macOS オペレーティング システムに悪意のあるソフトウェアを感染させる新たなスピア フィッシング攻撃に関与しています。

Proofpoint の最近のレポートによると、TA453 はさまざまなクラウド ホスティング プロバイダーを利用して新たな感染チェーンを実行し、新たに特定された GorjolEcho と呼ばれる PowerShell バックドアを展開しました。

さらに、TA453 は、NokNok と呼ばれる Apple 指向の感染チェーンを立ち上げようとすることで戦術を拡大し、スパイ行為の執拗な追求において複数の人格のなりすましを使用しました。

脅威アクターの過去の悪用

APT35、Charming Kitten、Mint Sandstorm、Yellow Garuda としても知られるこの脅威グループは、イランのイスラム革命防衛隊 (IRGC) とつながりがあり、少なくとも 2011 年から活動しています。Volexity は最近、 PowerShell インプラント CharmPower (GhostEcho または POWERSTAR とも呼ばれます)。

2023 年 5 月にエンタープライズ セキュリティ会社によって観察された最近の攻撃では、TA453 が米国に拠点を置く外交を専門とするシンクタンクの核セキュリティ専門家にフィッシングメールを送信しました。これらのメールには、RAR アーカイブをホストする Dropbox URL にターゲットをリダイレクトする Google Script マクロへの悪意のあるリンクが含まれていました。

このファイル内で、LNK ドロッパーは最終的に GorjolEcho をデプロイする多段階プロセスを開始しました。このバックドアは、リモート サーバーからの次段階のペイロードを密かに待機している間に、おとりの PDF ドキュメントを表示しました。しかし、ターゲットが Apple コンピュータを使用していることが判明すると、TA453 はアプローチを変更しました。彼らは、VPN アプリケーションを装った Mach-O バイナリを含む ZIP アーカイブを含む 2 通目の電子メールを送信しました。実際には、このバイナリは、NokNok として知られる Bash スクリプトベースのバックドアをダウンロードするためにリモート サーバーに接続する AppleScript でした。

次に、NokNok は、実行中のプロセス、インストールされているアプリケーション、システム メタデータに関する情報を収集し、LaunchAgent を通じて永続性を確立できる最大 4 つのモジュールを取得しました。

これらのモジュールは、CharmPower に関連するモジュールと重要な機能を共有しており、NokNok は、2017 年に以前に TA453 グループによるものとされていた macOS マルウェアとソース コードの類似性を示しました。

攻撃者は、おそらく訪問者の指紋を採取し、成功した被害者を追跡する手段として、詐欺的なファイル共有 Web サイトも利用しました。