伊朗 APT 針對 Windows 和 Mac 受害者

伊朗民族國家組織 TA453 與新一波魚叉式網絡釣魚攻擊有關，這些攻擊利用惡意軟件感染 Windows 和 macOS 操作系統。

根據 Proofpoint 最近的一份報告，TA453 使用了各種雲託管提供商來執行新的感染鏈，部署了一個新識別的名為 GorjolEcho 的 PowerShell 後門。

此外，TA453 還擴大了其策略，試圖啟動名為 NokNok 的面向 Apple 的感染鏈，並在其不懈地追捕間諜活動中採用多重角色模仿。

威脅行為者過去的功績

該威脅組織也稱為 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，與伊朗伊斯蘭革命衛隊 (IRGC) 有聯繫，並且至少自 2011 年以來一直活躍。Volexity 最近透露，他們使用了更新版本的PowerShell 植入 CharmPower（也稱為 GhostEcho 或 POWERSTAR）。

在一家企業安全公司於 2023 年 5 月觀察到的最近一次攻擊中，TA453 向美國一家專注於外交事務的智庫的核安全專家發送了網絡釣魚電子郵件。這些電子郵件包含指向 Google Script 宏的惡意鏈接，該鏈接將目標重定向到託管 RAR 存檔的 Dropbox URL。

在此文件中，LNK 釋放程序啟動了一個多階段過程，最終部署了 GorjolEcho。該後門在秘密等待來自遠程服務器的下一階段有效負載時顯示了一個誘餌 PDF 文檔。然而，在發現目標使用的是蘋果電腦後，TA453 修改了其方法。他們發送了第二封電子郵件，其中包含一個 ZIP 存檔，其中包含偽裝成 VPN 應用程序的 Mach-O 二進製文件。實際上，這個二進製文件是一個 AppleScript，它連接到遠程服務器以下載名為 NokNok 的基於 Bash 腳本的後門。

NokNok 反過來檢索最多四個模塊，這些模塊能夠收集有關正在運行的進程、已安裝的應用程序、系統元數據的信息，並通過 LaunchAgents 建立持久性。

這些模塊與與 CharmPower 相關的模塊共享重要功能，並且 NokNok 在源代碼中與 2017 年 TA453 組織先前發現的 macOS 惡意軟件有相似之處。

威脅行為者還利用了一個欺詐性文件共享網站，可能作為對訪問者進行指紋識別和跟踪成功受害者的一種手段。