Logiciel malveillant NokNok Mac

L'acteur de la cybercriminalité d'État-nation identifié comme APT35 d'Iran a été associé à une vague d'attaques ciblées de harponnage affectant à la fois les systèmes d'exploitation Windows et macOS. Ces attaques visent à infiltrer les systèmes avec des outils malveillants spécialisés. L'analyse des attaques APT35 a révélé que les pirates utilisaient divers fournisseurs d'hébergement cloud pour établir une chaîne d'infection unique.

Les cybercriminels ont également utilisé deux menaces de logiciels malveillants jusque-là inconnues. Sur les systèmes Windows, APT35 a utilisé une porte dérobée PowerShell récemment découverte nommée GorjolEcho. Alternativement, s'il s'avérait que les victimes utilisaient un appareil Apple, les pirates passaient à une chaîne d'infection modifiée qui impliquait une menace de malware Mac suivie sous le nom de NokNok.

Cela montre les tentatives de l'acteur pour exploiter les vulnérabilités spécifiques à macOS.

Le groupe de cybercriminalité APT35 continue de faire évoluer ses techniques de harponnage

APT35, également connu sous le nom de Charming Kitten, TA453, Mint Sandstorm et Yellow Garuda, est un groupe menaçant de premier plan lié au Corps des gardiens de la révolution islamique (CGRI) iranien. Ce groupe est actif depuis au moins 2011, se livrant à diverses cyberopérations ciblant des particuliers et des organisations. Dans leur poursuite incessante d'activités d'espionnage, APT35 a utilisé une tactique connue sous le nom d'usurpation d'identité multi-personnes, qui implique que les acteurs de la menace assument plusieurs identités pour tromper des cibles et obtenir un accès non autorisé à des informations sensibles.

Ces techniques sophistiquées employées par APT35 mettent en évidence leurs efforts continus pour mener des opérations de cyberespionnage ciblées. Le groupe sélectionne stratégiquement des cibles de premier plan et emploie diverses tactiques, telles que le phishing et l'utilisation d'outils personnalisés, pour compromettre les systèmes et obtenir un accès non autorisé à des informations sensibles. Il a été observé qu'APT35 a mis à jour ses tactiques en utilisant une version améliorée d'un implant PowerShell connu sous le nom de POWERSTAR , également appelé GhostEcho ou CharmPower.

Dans une séquence d'attaque spécifique qui s'est produite à la mi-mai 2023, les acteurs de la menace d'APT35 ont lancé une campagne de phishing. Leur cible était un expert en sécurité nucléaire associé à un groupe de réflexion américain spécialisé dans les affaires étrangères. L'attaque impliquait l'envoi d'e-mails trompeurs contenant un lien malveillant déguisé en macro Google Script. Une fois cliqué, le lien redirigeait la cible vers une URL Dropbox hébergeant une archive RAR.

L'APT35 a utilisé différentes chaînes d'attaque pour compromettre les utilisateurs d'Apple avec le logiciel malveillant NokNok

Si la cible choisie utilise un appareil Apple, APT35 aurait ajusté ses méthodes et exécuté une tactique secondaire. Cela impliquait l'envoi d'un deuxième e-mail contenant une archive ZIP incorporant un fichier binaire Mach-O. Le fichier se déguisait en application VPN, mais en réalité, il fonctionnait comme un AppleScript. Lorsqu'il est exécuté, ce script établit une connexion avec un serveur distant pour initier le téléchargement d'une porte dérobée appelée NokNok.

La porte dérobée NokNok, lors de l'installation, récupère jusqu'à quatre modules qui possèdent diverses capacités. Ces modules permettent la collecte d'informations telles que les processus en cours d'exécution, les applications installées et les métadonnées système. De plus, ils facilitent l'établissement de la persistance au sein du système compromis en utilisant LaunchAgents.

Notamment, la fonctionnalité de ces modules présente une ressemblance frappante avec les modules associés à POWERSTAR, un outil précédemment identifié utilisé par APT35. Cela indique un chevauchement important des capacités et des objectifs des deux souches de logiciels malveillants. De plus, NokNok présente des similitudes de code avec les logiciels malveillants macOS qui étaient auparavant attribués au même groupe de cybercriminalité en 2017.

Pour améliorer encore leurs tactiques, les pirates ont également créé un site Web de partage de fichiers frauduleux. Ce site Web sert probablement de moyen de prendre les empreintes digitales des visiteurs, de recueillir des informations sur les victimes potentielles et d'agir comme un mécanisme de suivi pour surveiller le succès de leurs attaques.

Ces techniques adaptatives employées par TA453 démontrent leurs efforts continus pour cibler les utilisateurs Apple et exploiter leurs systèmes. Cela souligne l'importance de maintenir des pratiques de sécurité solides, telles que la mise à jour régulière des logiciels, l'utilisation de solutions antivirus fiables et la prudence lors de l'interaction avec les pièces jointes des e-mails ou du téléchargement de fichiers à partir de sources non fiables. En restant informés de l'évolution des menaces et en mettant en œuvre des mesures de sécurité complètes, les utilisateurs peuvent mieux se protéger contre les activités des acteurs de la menace comme APT35.