伊朗 APT 针对 Windows 和 Mac 受害者

伊朗民族国家组织 TA453 与新一波鱼叉式网络钓鱼攻击有关，这些攻击利用恶意软件感染 Windows 和 macOS 操作系统。

根据 Proofpoint 最近的一份报告，TA453 使用了各种云托管提供商来执行新的感染链，部署了一个新识别的名为 GorjolEcho 的 PowerShell 后门。

此外，TA453 还扩大了其策略，试图启动名为 NokNok 的面向 Apple 的感染链，并在其不懈地追捕间谍活动中采用多重角色模仿。

威胁行为者过去的功绩

该威胁组织也称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，与伊朗伊斯兰革命卫队 (IRGC) 有联系，并且至少自 2011 年以来一直活跃。Volexity 最近透露，他们使用了更新版本的PowerShell 植入 CharmPower（也称为 GhostEcho 或 POWERSTAR）。

在一家企业安全公司于 2023 年 5 月观察到的最近一次攻击中，TA453 向美国一家专注于外交事务的智库的核安全专家发送了网络钓鱼电子邮件。这些电子邮件包含指向 Google Script 宏的恶意链接，该链接将目标重定向到托管 RAR 存档的 Dropbox URL。

在此文件中，LNK 释放程序启动了一个多阶段过程，最终部署了 GorjolEcho。该后门在秘密等待来自远程服务器的下一阶段有效负载时显示了一个诱饵 PDF 文档。然而，在发现目标使用的是苹果电脑后，TA453 修改了其方法。他们发送了第二封电子邮件，其中包含一个 ZIP 存档，其中包含伪装成 VPN 应用程序的 Mach-O 二进制文件。实际上，这个二进制文件是一个 AppleScript，它连接到远程服务器以下载名为 NokNok 的基于 Bash 脚本的后门。

NokNok 反过来检索最多四个模块，这些模块能够收集有关正在运行的进程、已安装的应用程序、系统元数据的信息，并通过 LaunchAgents 建立持久性。

这些模块与与 CharmPower 相关的模块共享重要功能，并且 NokNok 在源代码中与 2017 年 TA453 组织先前发现的 macOS 恶意软件有相似之处。

威胁行为者还利用了一个欺诈性文件共享网站，可能作为对访问者进行指纹识别和跟踪成功受害者的一种手段。