Irano APT taikosi ir Windows, ir Mac aukoms

TA453, Irano nacionalinės valstybės veikėjas, buvo susijęs su nauja sukčiavimo atakų banga, kuri užkrečia Windows ir MacOS operacines sistemas kenkėjiška programine įranga.

Remiantis naujausia „Proofpoint“ ataskaita, TA453 įdarbino įvairius debesų prieglobos paslaugų teikėjus, kad vykdytų naują infekcijos grandinę, įdiegdama naujai identifikuotą „PowerShell“ užpakalines duris, pavadintą „GorjolEcho“.

Be to, TA453 išplėtė savo taktiką, bandydama paleisti į „Apple“ orientuotą infekcijų grandinę, pavadintą „NokNok“, ir taikė kelių asmenybių apsimetinėjimą nenumaldomai siekdama šnipinėjimo.

Grėsmių aktoriaus praeities žygdarbiai

Ši grėsmės grupė, dar žinoma kaip APT35, Charming Kitten, Mint Sandstorm ir Yellow Garuda, palaiko ryšius su Irano Islamo revoliucijos gvardijos korpusu (IRGC) ir veikia mažiausiai nuo 2011 m. Volexity neseniai atskleidė, kad jie naudoja atnaujintą PowerShell implantas CharmPower (taip pat žinomas kaip GhostEcho arba POWERSTAR).

Per neseniai 2023 m. gegužę įvykusią ataką, kurią pastebėjo įmonės saugos įmonė, TA453 išsiuntė el. laiškus apie sukčiavimą JAV įsikūrusios ekspertų grupės, kurios pagrindinis dėmesys buvo skiriamas užsienio reikalams, branduolinio saugumo ekspertui. Šiuose el. laiškuose buvo kenkėjiška nuoroda į „Google Script“ makrokomandą, kuri nukreipė taikinį į „Dropbox“ URL, kuriame yra RAR archyvas.

Šiame faile LNK lašintuvas inicijavo kelių etapų procesą, kuris galiausiai įdiegė „GorjolEcho“. Šiose užpakalinėse duryse buvo rodomas viliojantis PDF dokumentas, slapta laukiant kito etapo naudingų krovinių iš nuotolinio serverio. Tačiau sužinojęs, kad taikinys naudojo „Apple“ kompiuterį, TA453 pakeitė savo požiūrį. Jie išsiuntė antrą el. laišką su ZIP archyvu, kuriame buvo dvejetainis Mach-O, užmaskuotas kaip VPN programa. Tiesą sakant, šis dvejetainis failas buvo „AppleScript“, kuris buvo prijungtas prie nuotolinio serverio, kad atsisiųstų „Bash“ scenarijaus pagrindu veikiančias užpakalines duris, žinomą kaip „NokNok“.

„NokNok“ savo ruožtu nuskaito iki keturių modulių, galinčių rinkti informaciją apie vykdomus procesus, įdiegtas programas, sistemos metaduomenis ir nustatyti patvarumą per LaunchAgents.

Šie moduliai turėjo reikšmingą funkcionalumą su moduliais, susijusiais su CharmPower, o „NokNok“ šaltinio kodas buvo panašus į „MacOS“ kenkėjiškas programas, anksčiau priskirtas TA453 grupei 2017 m.

Grėsmių veikėjas taip pat naudojosi apgaulinga failų dalijimosi svetaine, greičiausiai kaip priemone lankytojų pirštų atspaudams ir sėkmingų aukų sekimui.