Ngày 06 tháng 7 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Phần mềm độc hại
Diễn viên nhà nước quốc gia Iran được gọi là TA453 đã được liên kết với một loạt các cuộc tấn công lừa đảo mới lây nhiễm phần mềm độc hại cho cả hệ điều hành Windows và macOS.
“TA453 cuối cùng đã sử dụng nhiều nhà cung cấp dịch vụ lưu trữ đám mây để cung cấp một chuỗi lây nhiễm mới triển khai cửa hậu PowerShell GorjolEcho mới được xác định,” Proofpoint cho biết trong một báo cáo mới.
“Khi có cơ hội, TA453 đã chuyển phần mềm độc hại của mình và cố gắng khởi chạy chuỗi lây nhiễm có hương vị của Apple có tên là NokNok. TA453 cũng sử dụng mạo danh nhiều người trong nhiệm vụ gián điệp không hồi kết của mình.”
TA453, còn được biết đến với các tên APT35, Charming Kitten, Mint Sandstorm và Yellow Garuda, là một nhóm đe dọa có liên quan đến Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) đã hoạt động ít nhất từ năm 2011. Gần đây nhất, Volexity đã nhấn mạnh việc sử dụng của kẻ thù về phiên bản cập nhật của bộ cấy Powershell có tên là CharmPower (còn gọi là GhostEcho hoặc POWERSTAR).
Trong chuỗi cuộc tấn công được công ty bảo mật doanh nghiệp phát hiện vào giữa tháng 5 năm 2023, nhóm tin tặc đã gửi email lừa đảo tới một chuyên gia an ninh hạt nhân tại một nhóm chuyên gia cố vấn có trụ sở tại Hoa Kỳ tập trung vào các vấn đề đối ngoại. Liên kết này đã gửi một liên kết độc hại đến macro Google Script. chuyển hướng mục tiêu đến URL Dropbox lưu trữ tệp lưu trữ RAR.
Có mặt trong tệp là một công cụ nhỏ giọt LNK khởi động một quy trình nhiều giai đoạn để cuối cùng triển khai GorjolEcho, đến lượt nó, hiển thị một tài liệu PDF giả, trong khi bí mật chờ tải trọng giai đoạn tiếp theo từ một máy chủ từ xa.
Nhưng khi nhận ra rằng mục tiêu đang sử dụng máy tính Apple, TA453 được cho là đã điều chỉnh phương thức hoạt động của mình để gửi email thứ hai với kho lưu trữ ZIP nhúng tệp nhị phân Mach-O giả dạng ứng dụng VPN, nhưng trên thực tế, là một AppleScript liên hệ với một máy chủ từ xa để tải xuống một cửa hậu dựa trên tập lệnh Bash có tên là NokNok.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Quản lý quyền truy cập đặc quyền: Tìm hiểu cách chinh phục những thách thức chính
Khám phá các cách tiếp cận khác nhau để chinh phục các thử thách Quản lý tài khoản đặc quyền (PAM) và tăng cấp cho chiến lược bảo mật truy cập đặc quyền của bạn.
Đặt chỗ của bạn
Về phần mình, NokNok tìm nạp tối đa bốn mô-đun có khả năng thu thập các quy trình đang chạy, ứng dụng đã cài đặt và siêu dữ liệu hệ thống cũng như thiết lập độ bền bằng LaunchAgents.
Các mô-đun “phản ánh phần lớn chức năng” của các mô-đun được liên kết với CharmPower, trong đó NokNok chia sẻ một số mã nguồn trùng lặp với phần mềm độc hại macOS trước đây được gán cho nhóm vào năm 2017.
Cũng được nam diễn viên đưa vào sử dụng là một trang web chia sẻ tệp không có thật có khả năng hoạt động để lấy dấu vân tay của khách truy cập và hoạt động như một cơ chế để theo dõi các nạn nhân thành công.
Các nhà nghiên cứu cho biết: “TA453 tiếp tục điều chỉnh kho vũ khí phần mềm độc hại của mình, triển khai các loại tệp mới và nhắm mục tiêu vào các hệ điều hành mới”, đồng thời cho biết thêm rằng kẻ tấn công “tiếp tục hướng tới các mục tiêu cuối cùng là do thám xâm nhập và trái phép” đồng thời làm phức tạp các nỗ lực phát hiện.
