Iransk APT retter seg mot både Windows- og Mac-ofre
TA453, en iransk nasjonalstatsaktør, har blitt koblet til en ny bølge av spyd-phishing-angrep som infiserer Windows- og macOS-operativsystemer med skadelig programvare.
I følge en fersk rapport fra Proofpoint, ansatte TA453 forskjellige nettskyvertsleverandører for å utføre en ny infeksjonskjede, og distribuerte en nylig identifisert PowerShell-bakdør kalt GorjolEcho.
Videre utvidet TA453 sin taktikk ved å forsøke å lansere en Apple-orientert infeksjonskjede kalt NokNok og benyttet seg av multi-persona etterligning i sin nådeløse jakt på spionasje.
Trusselskuespillers tidligere utnyttelser
Denne trusselgruppen, også kjent som APT35, Charming Kitten, Mint Sandstorm og Yellow Garuda, har bånd til Irans Islamic Revolutionary Guard Corps (IRGC) og har vært aktiv siden minst 2011. Volexity avslørte nylig deres bruk av en oppdatert versjon av PowerShell-implantat CharmPower (også kjent som GhostEcho eller POWERSTAR).
I et nylig angrep observert av et sikkerhetsselskap i mai 2023, sendte TA453 phishing-e-poster til en kjernefysisk sikkerhetsekspert ved en USA-basert tenketank med fokus på utenrikssaker. Disse e-postene inneholdt en ondsinnet kobling til en Google Script-makro, som omdirigerte målet til en Dropbox-URL som er vert for et RAR-arkiv.
Innenfor denne filen initierte en LNK-dropper en flertrinnsprosess som til slutt implementerte GorjolEcho. Denne bakdøren viste et lokkedue-PDF-dokument mens den i all hemmelighet ventet på nyttelast i neste trinn fra en ekstern server. Etter å ha oppdaget at målet brukte en Apple-datamaskin, endret imidlertid TA453 tilnærmingen. De sendte en ny e-post med et ZIP-arkiv som inneholder en Mach-O-binær forkledd som en VPN-applikasjon. I virkeligheten var denne binære filen et AppleScript som koblet til en ekstern server for å laste ned en Bash-skriptbasert bakdør kjent som NokNok.
NokNok hentet på sin side opptil fire moduler som er i stand til å samle informasjon om kjørende prosesser, installerte applikasjoner, systemmetadata og etablere utholdenhet gjennom LaunchAgents.
Disse modulene delte betydelig funksjonalitet med modulene assosiert med CharmPower, og NokNok viste likheter i kildekoden til macOS-malware som tidligere ble tilskrevet TA453-gruppen i 2017.
Trusselaktøren brukte også et uredelig fildelingsnettsted, sannsynligvis som et middel til å fingeravtrykke besøkende og spore vellykkede ofre.
