Ο απειλητικός παράγοντας από το Ιράν, γνωστός ως TA453, συνδέεται με μια νέα σειρά επιθέσεων spear-phishing που μολύνουν με malware τόσο τα λειτουργικά συστήματα Windows όσο και τα συστήματα macOS.

Δείτε επίσης: Rekoobe Malware: Στοχεύει ευάλωτους Linux servers

“Ο απειλητικός παράγοντας TA453 χρησιμοποίησε τελικά μια ποικιλία παρόχων cloud hosting για να παραδώσει μια νέα αλυσίδα μόλυνσης που αναπτύσσει το πρόσφατα αναγνωρισμένο PowerShell backdoor GorjolEcho”, αναφέρει η Proofpoint σε μια νέα έκθεση.

“Όταν του δόθηκε η ευκαιρία, ο απειλητικός παράγοντας TA453 μετέφερε το κακόβουλο λογισμικό του και προσπάθησε να ξεκινήσει μια αλυσίδα μόλυνσης με γεύση Apple με το όνομα NokNok. Η ομάδα TA453 χρησιμοποίησε επίσης πλαστοπροσωπία πολλαπλών προσώπων στην ατελείωτη κατασκοπευτική του αποστολή.”

Δείτε επίσης: Google Play: Δημοφιλείς εφαρμογές file manager ήταν spyware

Η TA453, επίσης γνωστή ως APT35, Charming Kitten, Mint Sandstorm και Yellow Garuda, είναι μια ομάδα που συνδέεται με το Σώμα Φρουρών της Ισλαμικής Επανάστασης (IRGC) του Ιράν και δραστηριοποιείται από το 2011. Πιο πρόσφατα, η Volexity τόνισε τη χρήση μιας ενημερωμένης έκδοσης ενός Powershell implant που ονομάζεται CharmPower (γνωστός και ως GhostEcho ή POWERSTAR).

Στην ακολουθία επίθεσης που ανακαλύφθηκε από την εταιρεία ασφάλειας επιχειρήσεων στα μέσα Μαΐου 2023, η ομάδα hacking έστειλε email σε έναν εμπειρογνώμονα πυρηνικής ασφάλειας σε μια δεξαμενή σκέψης με έδρα τις ΗΠΑ που επικεντρώνεται σε εξωτερικές υποθέσεις, τα οποία παρέδιδαν έναν κακόβουλο σύνδεσμο. Αυτός ο σύνδεσμος ανακατεύθυνε τον στόχο σε μια διεύθυνση URL του Dropbox που φιλοξενούσε ένα αρχείο RAR.

Εντός του αρχείου υπάρχει ένα παρόν LNK dropper που ξεκινά μια διαδικασία πολλαπλών σταδίων για να αναπτύξει τελικά το GorjolEcho, το οποίο στη συνέχεια εμφανίζει ένα έγγραφο PDF δόλωμα ενώ περιμένει κρυφά τα ωφέλιμα φορτία επόμενου σταδίου από έναν απομακρυσμένο διακομιστή.

Όταν συνειδητοποίησε ότι ο στόχος χρησιμοποιούσε υπολογιστή Apple, η TA453 λέγεται ότι τροποποίησε τον τρόπο λειτουργίας του για να στείλει ένα δεύτερο email με ένα αρχείο ZIP που ενσωμάτωνε ένα Mach-O binary το οποίο μεταμφιέστηκε ως εφαρμογή VPN, αλλά στην πραγματικότητα ήταν ένα AppleScript που επικοινωνούσε με έναν απομακρυσμένο server για να κατεβάσει ένα backdoor που βασίζεται σε script Bash και ονομάζεται NokNok.

Το NokNok, από την πλευρά του, φέρνει έως και τέσσερα modules που είναι ικανά να συγκεντρώνουν τις εκτελούμενες διεργασίες, τις εγκατεστημένες εφαρμογές και τα metadata του συστήματος, καθώς και να ρυθμίζουν την επιμονή χρησιμοποιώντας τους LaunchAgents.

Τα modules “αντικατοπτρίζουν το μεγαλύτερο μέρος της λειτουργικότητας” των modules που σχετίζονται με το CharmPower, ενώ το NokNok μοιράζεται κάποια source code overlaps με κακόβουλο λογισμικό macOS που αποδόθηκε προηγουμένως στην ομάδα το 2017.

Ο απειλητικός παράγοντας χρησιμοποιεί και έναν ψεύτικο ιστότοπο ανταλλαγής αρχείων, πιθανότατα με σκοπό την αποτύπωση των δακτυλικών αποτυπωμάτων των επισκεπτών και τον εντοπισμό των επιτυχημένων θυμάτων.

Πηγή πληροφοριών: thehackernews.com