The Hacker News 網(wǎng)站披露，疑似名為 TA453 的伊朗黑客組織與一系列新魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)，這些攻擊使用惡意軟件感染 Windows 和 macOS 操作系統(tǒng)。

Proofpoint 在一份報(bào)告中指出 TA453 使用各種云托管服務(wù)提供了一個(gè)新感染鏈，該鏈部署了新確定的 PowerShell 后門 GorjolEcho。一旦得到機(jī)會(huì)，TA453 就會(huì)移植其惡意軟件，并試圖啟動(dòng)一個(gè)名為 NokNok 的蘋果風(fēng)格的感染鏈。此外，研究人員發(fā)現(xiàn) TA453 還在其無休止的間諜活動(dòng)中使用了多角色模擬。

關(guān)于 TA453

TA453 也被稱為 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一個(gè)與伊朗伊斯蘭革命衛(wèi)隊(duì)（IRGC）有關(guān)的網(wǎng)絡(luò)威脅組織，至少自 2011 年以來一直活躍。

近期，網(wǎng)絡(luò)安全公司 Volexity 強(qiáng)調(diào)黑客使用了一種名為 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 發(fā)現(xiàn)的某次網(wǎng)絡(luò)攻擊活動(dòng)中，黑客團(tuán)隊(duì)向一家專注于外交事務(wù)的美國智庫的核安全專家發(fā)送了釣魚電子郵件，該專家發(fā)送了一個(gè)指向谷歌腳本宏的惡意鏈接，該鏈接將目標(biāo)重定向到托管 RAR 檔案的 Dropbox URL。

1688700821_64a787951af2e946f28e0.png!small?1688700821244

值得一提的是，文件中有一個(gè) LNK 滴管，它啟動(dòng)了一個(gè)多階段的過程，最終部署 GorjolEcho，然后顯示一個(gè)誘餌 PDF 文檔，同時(shí)秘密等待來自遠(yuǎn)程服務(wù)器的下一階段有效載荷。一旦意識(shí)到受害目標(biāo)使用的是蘋果電腦后，TA453 就會(huì)調(diào)整其整個(gè)操作方式，發(fā)送第二封電子郵件，郵件中包含一個(gè) ZIP 檔案，嵌入了偽裝成 VPN 應(yīng)用程序的 Mach-O 二進(jìn)制文件，但實(shí)際上是一個(gè) AppleScript，它可以連接到遠(yuǎn)程服務(wù)器下載一個(gè)名為 NokNok 的基于 Bash 腳本的后門。

就 NokNok 而言，它能夠獲取多達(dá)四個(gè)模塊，這些模塊能夠收集正在運(yùn)行的進(jìn)程、已安裝的應(yīng)用程序和系統(tǒng)元數(shù)據(jù)，并使用 LaunchAgent 設(shè)置持久性。這些模塊“反映”與 CharmPower 相關(guān)模塊的大部分功能。此外，NokNok 還共享了一些源代碼，這些源代碼與 2017 年該團(tuán)伙使用的 macOS 惡意軟件代碼重疊。

TA453 攻擊者還使用了一個(gè)虛假的文件共享網(wǎng)站，該網(wǎng)站可能會(huì)對(duì)訪問者進(jìn)行指紋識(shí)別，并作為追蹤成功受害者的機(jī)制。

最后，研究人員表示 TA453 能夠不斷調(diào)整其惡意軟件庫，部署新的文件類型，并針對(duì)新的操作系統(tǒng)。

文章來源：https://thehackernews.com/2023/07/iranian-hackers-sophisticated-malware.html