Irański atak APT bierze na cel ofiary zarówno z systemem Windows, jak i Mac

TA453, irański aktor będący państwem narodowym, został powiązany z nową falą ataków typu spear-phishing, które infekują systemy operacyjne Windows i macOS złośliwym oprogramowaniem.

Według niedawnego raportu Proofpoint, TA453 zatrudnił różnych dostawców hostingu w chmurze do wykonania nowego łańcucha infekcji, wdrażając nowo zidentyfikowany backdoor PowerShell o nazwie GorjolEcho.

Co więcej, TA453 rozszerzył swoją taktykę, próbując uruchomić zorientowany na Apple łańcuch infekcji o nazwie NokNok, i wykorzystał podszywanie się pod wiele osób w nieustannym dążeniu do szpiegostwa.

Wcześniejsze wyczyny aktora-zagrożenia

Ta grupa zagrożeń, znana również jako APT35, Charming Kitten, Mint Sandstorm i Yellow Garuda, ma powiązania z irańskim Korpusem Strażników Rewolucji Islamskiej (IRGC) i działa od co najmniej 2011 roku. Volexity niedawno ujawniło, że używa zaktualizowanej wersji Implant PowerShell CharmPower (znany również jako GhostEcho lub POWERSTAR).

W niedawnym ataku zaobserwowanym przez firmę zajmującą się bezpieczeństwem korporacyjnym w maju 2023 r. TA453 wysłał e-maile phishingowe do eksperta ds. Bezpieczeństwa jądrowego w amerykańskim think tanku zajmującym się sprawami zagranicznymi. E-maile te zawierały złośliwe łącze do makra Google Script, które przekierowywało cel do adresu URL Dropbox, na którym znajduje się archiwum RAR.

W tym pliku dropper LNK zainicjował wieloetapowy proces, który ostatecznie wdrożył GorjolEcho. Ten backdoor wyświetlał fałszywy dokument PDF, potajemnie czekając na ładunki następnego etapu ze zdalnego serwera. Jednak po odkryciu, że cel korzystał z komputera Apple, TA453 zmodyfikował swoje podejście. Wysłali drugi e-mail z archiwum ZIP zawierającym plik binarny Mach-O udający aplikację VPN. W rzeczywistości ten plik binarny był skryptem AppleScript, który łączył się ze zdalnym serwerem w celu pobrania backdoora opartego na skrypcie Bash, znanego jako NokNok.

Z kolei NokNok pobrał do czterech modułów zdolnych do gromadzenia informacji o uruchomionych procesach, zainstalowanych aplikacjach, metadanych systemowych i ustalaniu trwałości za pośrednictwem LaunchAgents.

Moduły te współdzieliły znaczną funkcjonalność z modułami powiązanymi z CharmPower, a NokNok wykazywał podobieństwa w kodzie źródłowym do złośliwego oprogramowania dla systemu macOS, przypisanego wcześniej grupie TA453 w 2017 roku.

Aktor wykorzystujący zagrożenie wykorzystał również oszukańczą witrynę do udostępniania plików, prawdopodobnie w celu pobierania odcisków palców odwiedzających i śledzenia udanych ofiar.