Iraanse APT richt zich op zowel Windows- als Mac-slachtoffers

TA453, een Iraanse natiestaat, is in verband gebracht met een nieuwe golf van spear-phishing-aanvallen die Windows- en macOS-besturingssystemen infecteren met kwaadaardige software.

Volgens een recent rapport van Proofpoint heeft TA453 verschillende cloudhostingproviders in dienst genomen om een nieuwe infectieketen uit te voeren, waarbij een nieuw geïdentificeerde PowerShell-achterdeur, GorjolEcho, wordt ingezet.

Bovendien breidde TA453 zijn tactiek uit door te proberen een Apple-georiënteerde infectieketen genaamd NokNok te lanceren en imiteerde hij meerdere personen in zijn meedogenloze jacht op spionage.

Eerdere exploits van de bedreigingsactor

Deze dreigingsgroep, ook wel bekend als APT35, Charming Kitten, Mint Sandstorm en Yellow Garuda, heeft banden met de Iraanse Islamitische Revolutionaire Garde (IRGC) en is al minstens sinds 2011 actief. Volexity onthulde onlangs hun gebruik van een bijgewerkte versie van de PowerShell-implantaat CharmPower (ook bekend als GhostEcho of POWERSTAR).

Bij een recente aanval die in mei 2023 werd waargenomen door een bedrijfsbeveiligingsbedrijf, stuurde TA453 phishing-e-mails naar een nucleaire beveiligingsexpert van een in de VS gevestigde denktank gericht op buitenlandse zaken. Deze e-mails bevatten een kwaadaardige link naar een Google Script-macro, die het doelwit omleidde naar een Dropbox-URL die een RAR-archief host.

Binnen dit bestand heeft een LNK-dropper een proces in meerdere fasen gestart dat uiteindelijk GorjolEcho heeft geïmplementeerd. Deze achterdeur vertoonde een lokaas-pdf-document terwijl het in het geheim wachtte op de volgende fase-payloads van een externe server. Toen TA453 echter ontdekte dat het doelwit een Apple-computer gebruikte, paste TA453 zijn aanpak aan. Ze stuurden een tweede e-mail met een ZIP-archief met een Mach-O-binair bestand vermomd als een VPN-toepassing. In werkelijkheid was dit binaire bestand een AppleScript dat verbinding maakte met een externe server om een op Bash-script gebaseerde achterdeur te downloaden die bekend staat als NokNok.

NokNok heeft op zijn beurt tot vier modules opgehaald die in staat zijn om informatie te verzamelen over lopende processen, geïnstalleerde applicaties, systeemmetadata en het vaststellen van persistentie via LaunchAgents.

Deze modules deelden aanzienlijke functionaliteit met de modules die aan CharmPower zijn gekoppeld, en NokNok vertoonde overeenkomsten in de broncode met macOS-malware die eerder in 2017 aan de TA453-groep werd toegeschreven.

De aanvaller maakte ook gebruik van een frauduleuze website voor het delen van bestanden, waarschijnlijk als een middel om vingerafdrukken van bezoekers te nemen en succesvolle slachtoffers op te sporen.