NokNok Mac-Malware

Der als APT35 identifizierte staatliche Cyberkriminelle aus dem Iran wurde mit einer Welle gezielter Spear-Phishing-Angriffe in Verbindung gebracht, die sowohl Windows- als auch macOS-Betriebssysteme betrafen. Diese Angriffe zielen darauf ab, Systeme mit speziellen Malware-Tools zu infiltrieren. Die Analyse der APT35- Angriffe ergab, dass die Hacker verschiedene Cloud-Hosting-Anbieter nutzten, um eine einzigartige Infektionskette aufzubauen.

Die Cyberkriminellen setzten außerdem zwei bisher unbekannte Malware-Bedrohungen ein. Auf Windows-Systemen nutzte APT35 eine neu entdeckte PowerShell-Hintertür namens GorjolEcho. Wenn sich alternativ herausstellte, dass die Opfer ein Apple-Gerät verwendeten, wechselten die Hacker zu einer modifizierten Infektionskette, die eine als NokNok verfolgte Mac-Malware-Bedrohung beinhaltete.

Dies zeigt die Versuche des Akteurs, macOS-spezifische Schwachstellen auszunutzen.

Die APT35 Cybercrime Group entwickelt ihre Spear-Phishing-Techniken weiter

APT35, auch bekannt als Charming Kitten, TA453, Mint Sandstorm und Yellow Garuda, ist eine prominente Bedrohungsgruppe mit Verbindungen zum Korps der Islamischen Revolutionsgarde (IRGC) des Iran. Diese Gruppe ist seit mindestens 2011 aktiv und beteiligt sich an verschiedenen Cyberoperationen, die sich gegen Einzelpersonen und Organisationen richten. Bei der unermüdlichen Verfolgung von Spionageaktivitäten nutzte APT35 eine Taktik namens Multi-Persona-Impersonation, bei der die Bedrohungsakteure mehrere Identitäten annehmen, um Ziele zu täuschen und sich unbefugten Zugriff auf sensible Informationen zu verschaffen.

Diese hochentwickelten Techniken, die APT35 einsetzt, unterstreichen ihre fortlaufenden Bemühungen, gezielte Cyberspionageoperationen durchzuführen. Die Gruppe wählt strategisch hochkarätige Ziele aus und setzt verschiedene Taktiken wie Phishing und den Einsatz maßgeschneiderter Tools ein, um Systeme zu kompromittieren und sich unbefugten Zugriff auf sensible Informationen zu verschaffen. Es wurde beobachtet, dass APT35 seine Taktiken durch den Einsatz einer verbesserten Version eines PowerShell-Implantats namens POWERSTAR , auch bekannt als GhostEcho oder CharmPower, aktualisiert hat.

In einer konkreten Angriffssequenz Mitte Mai 2023 starteten die Bedrohungsakteure von APT35 eine Phishing-Kampagne. Ihr Ziel war ein Experte für nukleare Sicherheit, der einer in den USA ansässigen Denkfabrik mit Schwerpunkt auf Außenpolitik angehörte. Bei dem Angriff wurden betrügerische E-Mails verschickt, die einen als Google Script-Makro getarnten schädlichen Link enthielten. Nach dem Klicken leitete der Link das Ziel zu einer Dropbox-URL weiter, die ein RAR-Archiv hostet.

Der APT35 nutzte verschiedene Angriffsketten, um Apple-Benutzer mit der NokNok-Malware zu kompromittieren

Wenn das ausgewählte Ziel ein Apple-Gerät verwendet, hat APT35 Berichten zufolge seine Methoden angepasst und eine sekundäre Taktik ausgeführt. Dazu gehörte das Versenden einer zweiten E-Mail mit einem ZIP-Archiv, das eine Mach-O-Binärdatei enthielt. Die Datei tarnte sich als VPN-Anwendung, fungierte aber in Wirklichkeit als AppleScript. Bei der Ausführung stellt dieses Skript eine Verbindung mit einem Remote-Server her, um den Download einer Hintertür namens NokNok zu initiieren.

Die NokNok-Hintertür ruft bei der Installation bis zu vier Module ab, die über unterschiedliche Fähigkeiten verfügen. Diese Module ermöglichen die Erfassung von Informationen wie laufenden Prozessen, installierten Anwendungen und Systemmetadaten. Darüber hinaus erleichtern sie durch den Einsatz von LaunchAgents die Etablierung von Persistenz innerhalb des kompromittierten Systems.

Bemerkenswert ist, dass die Funktionalität dieser Module eine bemerkenswerte Ähnlichkeit mit den Modulen aufweist, die mit POWERSTAR verbunden sind, einem zuvor identifizierten Tool, das von APT35 verwendet wird. Dies weist auf eine erhebliche Überschneidung der Fähigkeiten und des Zwecks der beiden Malware-Stämme hin. Darüber hinaus weist NokNok Code-Ähnlichkeiten mit macOS-Malware auf, die bereits 2017 derselben Cyberkriminalitätsgruppe zugeordnet wurde.

Um ihre Taktik weiter zu verbessern, richteten die Hacker auch eine betrügerische Filesharing-Website ein. Diese Website dient wahrscheinlich dazu, Fingerabdrücke von Besuchern zu erfassen, Informationen über potenzielle Opfer zu sammeln und als Tracking-Mechanismus zur Überwachung des Erfolgs ihrer Angriffe zu fungieren.

Diese von TA453 eingesetzten adaptiven Techniken zeigen ihre kontinuierlichen Bemühungen, Apple-Benutzer anzusprechen und deren Systeme auszunutzen. Es unterstreicht, wie wichtig es ist, strenge Sicherheitspraktiken einzuhalten, wie z. B. regelmäßige Software-Updates, den Einsatz zuverlässiger Antivirenlösungen und Vorsicht beim Umgang mit E-Mail-Anhängen oder beim Herunterladen von Dateien aus nicht vertrauenswürdigen Quellen. Indem Benutzer über sich entwickelnde Bedrohungen informiert bleiben und umfassende Sicherheitsmaßnahmen implementieren, können sie sich besser vor den Aktivitäten von Bedrohungsakteuren wie APT35 schützen.