Иранская APT нацелена на жертв как Windows, так и Mac

TA453, иранское национальное государство, было связано с новой волной целевых фишинговых атак, которые заражали операционные системы Windows и macOS вредоносным программным обеспечением.

Согласно недавнему отчету Proofpoint, TA453 нанял различных провайдеров облачного хостинга для выполнения новой цепочки заражения, развернув недавно обнаруженный бэкдор PowerShell под названием GorjolEcho.

Кроме того, TA453 расширил свою тактику, попытавшись запустить ориентированную на Apple цепочку заражения под названием NokNok и применив мультиперсонаж в своем неустанном стремлении к шпионажу.

Прошлые подвиги актера угрозы

Эта группа угроз, также известная как APT35, Charming Kitten, Mint Sandstorm и Yellow Garuda, связана с иранским Корпусом стражей исламской революции (КСИР) и действует по крайней мере с 2011 года. Имплантат PowerShell CharmPower (также известный как GhostEcho или POWERSTAR).

Во время недавней атаки, обнаруженной фирмой по обеспечению безопасности предприятий в мае 2023 года, TA453 отправил фишинговые электронные письма эксперту по ядерной безопасности из американского аналитического центра, специализирующегося на международных отношениях. Эти электронные письма содержали вредоносную ссылку на макрос Google Script, который перенаправлял цель на URL-адрес Dropbox, на котором размещен архив RAR.

В этом файле дроппер LNK инициировал многоэтапный процесс, который в конечном итоге развернул GorjolEcho. Этот бэкдор отображал фиктивный PDF-документ, тайно ожидая полезных данных следующего этапа с удаленного сервера. Однако, обнаружив, что цель использует компьютер Apple, TA453 изменил свой подход. Они отправили второе электронное письмо с ZIP-архивом, содержащим двоичный файл Mach-O, замаскированный под приложение VPN. На самом деле этот двоичный файл был AppleScript, который подключался к удаленному серверу для загрузки бэкдора на основе сценария Bash, известного как NokNok.

NokNok, в свою очередь, получил до четырех модулей, способных собирать информацию о запущенных процессах, установленных приложениях, системных метаданных и обеспечивать постоянство через LaunchAgents.

Эти модули обладают значительными функциональными возможностями с модулями, связанными с CharmPower, а NokNok продемонстрировал сходство исходного кода с вредоносным ПО для macOS, ранее относимым к группе TA453 в 2017 году.

Злоумышленник также использовал мошеннический веб-сайт для обмена файлами, вероятно, как средство для снятия отпечатков пальцев посетителей и отслеживания успешных жертв.