Iranska APT riktar sig mot både Windows- och Mac-offer

TA453, en iransk nationalstatsaktör, har kopplats till en ny våg av spear-phishing-attacker som infekterar Windows och macOS operativsystem med skadlig programvara.

Enligt en färsk rapport från Proofpoint anställde TA453 olika molnvärdsleverantörer för att köra en ny infektionskedja, och distribuerade en nyligen identifierad PowerShell-bakdörr som heter GorjolEcho.

Dessutom utökade TA453 sin taktik genom att försöka lansera en Apple-orienterad infektionskedja som heter NokNok och använde multi-persona-imitation i sin obevekliga jakt på spionage.

Hotskådespelarens tidigare utnyttjande

Denna hotgrupp, även känd som APT35, Charming Kitten, Mint Sandstorm och Yellow Garuda, har kopplingar till Irans Islamiska revolutionsgardet (IRGC) och har varit aktiv sedan åtminstone 2011. Volexity avslöjade nyligen att de använder en uppdaterad version av PowerShell-implantat CharmPower (även känt som GhostEcho eller POWERSTAR).

I en attack nyligen som observerades av ett företagssäkerhetsföretag i maj 2023, skickade TA453 nätfiske-e-postmeddelanden till en kärnsäkerhetsexpert på en USA-baserad tankesmedja med fokus på utrikesfrågor. Dessa e-postmeddelanden innehöll en skadlig länk till ett Google Script-makro, som omdirigerade målet till en Dropbox-URL som är värd för ett RAR-arkiv.

Inom denna fil initierade en LNK-droppare en flerstegsprocess som till slut distribuerade GorjolEcho. Den här bakdörren visade ett lockbete-PDF-dokument medan den i hemlighet väntade på nyttolaster i nästa steg från en fjärrserver. Men när TA453 upptäckte att målet använde en Apple-dator ändrade TA453 sitt tillvägagångssätt. De skickade ett andra e-postmeddelande med ett ZIP-arkiv som innehöll en Mach-O-binär förklädd som en VPN-applikation. I verkligheten var den här binära filen ett AppleScript som ansluts till en fjärrserver för att ladda ner en Bash-skriptbaserad bakdörr känd som NokNok.

NokNok hämtade i sin tur upp till fyra moduler som kunde samla information om pågående processer, installerade applikationer, systemmetadata och etablera persistens genom LaunchAgents.

Dessa moduler delade betydande funktionalitet med modulerna associerade med CharmPower, och NokNok uppvisade likheter i källkoden med macOS-skadlig programvara som tidigare tillskrivits TA453-gruppen 2017.

Hotaktören använde också en bedräglig fildelningswebbplats, troligen som ett sätt att fingeravtrycka besökare och spåra framgångsrika offer.