APT iraniano tem como alvo vítimas de Windows e Mac

TA453, um ator de estado-nação iraniano, foi conectado a uma nova onda de ataques de spear phishing que infectam os sistemas operacionais Windows e macOS com software malicioso.

De acordo com um relatório recente da Proofpoint, o TA453 empregou vários provedores de hospedagem em nuvem para executar uma nova cadeia de infecção, implantando um backdoor do PowerShell recém-identificado chamado GorjolEcho.

Além disso, o TA453 expandiu suas táticas tentando lançar uma cadeia de infecção orientada para a Apple chamada NokNok e empregou a representação de várias pessoas em sua busca implacável de espionagem.

Façanhas passadas do ator de ameaças

Este grupo de ameaças, também conhecido como APT35, Charming Kitten, Mint Sandstorm e Yellow Garuda, tem laços com o Corpo de Guardas Revolucionários Islâmicos do Irã (IRGC) e está ativo desde pelo menos 2011. A Volexity revelou recentemente o uso de uma versão atualizada do Implante PowerShell CharmPower (também conhecido como GhostEcho ou POWERSTAR).

Em um ataque recente observado por uma empresa de segurança corporativa em maio de 2023, o TA453 enviou e-mails de phishing a um especialista em segurança nuclear de um think tank com sede nos EUA focado em relações exteriores. Esses e-mails continham um link malicioso para uma macro do Google Script, que redirecionava o alvo para um URL do Dropbox que hospedava um arquivo RAR.

Nesse arquivo, um conta-gotas LNK iniciou um processo de vários estágios que finalmente implantou o GorjolEcho. Este backdoor exibia um documento PDF falso enquanto esperava secretamente por cargas úteis do próximo estágio de um servidor remoto. No entanto, ao descobrir que o alvo estava usando um computador Apple, o TA453 modificou sua abordagem. Eles enviaram um segundo e-mail com um arquivo ZIP contendo um binário Mach-O disfarçado de aplicativo VPN. Na realidade, esse binário era um AppleScript que se conectava a um servidor remoto para baixar um backdoor baseado em script Bash conhecido como NokNok.

NokNok, por sua vez, recuperou até quatro módulos capazes de coletar informações sobre processos em execução, aplicativos instalados, metadados do sistema e estabelecer persistência por meio de LaunchAgents.

Esses módulos compartilhavam funcionalidade significativa com os módulos associados ao CharmPower, e o NokNok exibia semelhanças no código-fonte com o malware macOS atribuído anteriormente ao grupo TA453 em 2017.

O agente da ameaça também utilizou um site fraudulento de compartilhamento de arquivos, provavelmente como um meio de identificar as impressões digitais dos visitantes e rastrear as vítimas bem-sucedidas.