伊朗黑客正在瞄準 Windows 和 macOS 用戶
2023年07月08日
The Hacker News 網(wǎng)站披露����,疑似名為 TA453 的伊朗黑客組織與一系列新魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān),這些攻擊使用惡意軟件感染 Windows 和 macOS 操作系統(tǒng)����。
Proofpoint 在一份報告中指出 TA453 使用各種云托管服務(wù)提供了一個新感染鏈,該鏈部署了新確定的 PowerShell 后門 GorjolEcho�。一旦得到機會,TA453 就會移植其惡意軟件�,并試圖啟動一個名為 NokNok 的蘋果風(fēng)格的感染鏈。此外���,研究人員發(fā)現(xiàn) TA453 還在其無休止的間諜活動中使用了多角色模擬�。
關(guān)于 TA453
TA453 也被稱為 APT35�、Charming Kitten、Mint Sandstorm 和 Yellow Garuda��,是一個與伊朗伊斯蘭革命衛(wèi)隊(IRGC)有關(guān)的網(wǎng)絡(luò)威脅組織�����,至少自 2011 年以來一直活躍。
近期��,網(wǎng)絡(luò)安全公司 Volexity 強調(diào)黑客使用了一種名為 CharmPower(又名 GhostEcho 或 POWERSTAR)的 Powershell 植入物更新版本�。2023 年 5 月中旬,Volexity 發(fā)現(xiàn)的某次網(wǎng)絡(luò)攻擊活動中��,黑客團隊向一家專注于外交事務(wù)的美國智庫的核安全專家發(fā)送了釣魚電子郵件�,該專家發(fā)送了一個指向谷歌腳本宏的惡意鏈接��,該鏈接將目標重定向到托管 RAR 檔案的 Dropbox URL�����。
值得一提的是���,文件中有一個 LNK 滴管����,它啟動了一個多階段的過程���,最終部署 GorjolEcho���,然后顯示一個誘餌 PDF 文檔�,同時秘密等待來自遠程服務(wù)器的下一階段有效載荷����。一旦意識到受害目標使用的是蘋果電腦后,TA453 就會調(diào)整其整個操作方式��,發(fā)送第二封電子郵件����,郵件中包含一個 ZIP 檔案,嵌入了偽裝成 VPN 應(yīng)用程序的 Mach-O 二進制文件��,但實際上是一個 AppleScript���,它可以連接到遠程服務(wù)器下載一個名為 NokNok 的基于 Bash 腳本的后門���。
就 NokNok 而言,它能夠獲取多達四個模塊��,這些模塊能夠收集正在運行的進程�����、已安裝的應(yīng)用程序和系統(tǒng)元數(shù)據(jù)��,并使用 LaunchAgent 設(shè)置持久性。這些模塊“反映”與 CharmPower 相關(guān)模塊的大部分功能�����。此外�����,NokNok 還共享了一些源代碼�����,這些源代碼與 2017 年該團伙使用的 macOS 惡意軟件代碼重疊��。
TA453 攻擊者還使用了一個虛假的文件共享網(wǎng)站�����,該網(wǎng)站可能會對訪問者進行指紋識別�����,并作為追蹤成功受害者的機制��。
最后���,研究人員表示 TA453 能夠不斷調(diào)整其惡意軟件庫�����,部署新的文件類型�����,并針對新的操作系統(tǒng)�����。
