Οι χάκερ Charming Kitten χρησιμοποιούν νέο «NokNok» malware για macOS
Οι ερευνητές ασφαλείας εντόπισαν μια νέα εκστρατεία, την οποία αποδίδουν στην ομάδα APT Charming Kitten, στην οποία οι χάκερ χρησιμοποίησαν ένα νέο κακόβουλο λογισμικό NokNok που στοχεύει σε συστήματα macOS.
Δείτε επίσης: ΗΠΑ: 22 εκατομμύρια μαθητές μπορεί να πέσουν θύματα επιθέσεων ransomware το 2030
Δείτε επίσης: H ΕΥΠ ιδρύει το δικό της SOC- Κέντρο Επιχειρήσεων Κυβερνοασφάλειας
Η εκστρατεία ξεκίνησε τον Μάιο και βασίζεται σε μια διαφορετική αλυσίδα μόλυνσης από ό,τι είχε παρατηρηθεί προηγουμένως, με αρχεία LNK να αναπτύσσουν τα ωφέλιμα φορτία αντί για τα τυπικά κακόβουλα έγγραφα Word που είχαν παρατηρηθεί σε προηγούμενες επιθέσεις της ομάδας.
Το Charming Kitten, επίσης γνωστό ως APT42 ή Phosphorus, έχει ξεκινήσει τουλάχιστον 30 επιχειρήσεις σε 14 χώρες από το 2015, σύμφωνα με τη Mandiant.
Η Google συνέδεσε τον απειλητικό παράγοντα με το ιρανικό κράτος, και πιο συγκεκριμένα με το Σώμα Φρουρών της Ισλαμικής Επανάστασης (IRGC).
Τον Σεπτέμβριο του 2022, η κυβέρνηση των ΗΠΑ κατάφερε να εντοπίσει και να απαγγείλει κατηγορίες σε μέλη της απειλητικής ομάδας.
Η ProofPoint αναφέρει ότι ο απειλητικός φορέας έχει πλέον εγκαταλείψει τις μεθόδους μόλυνσης που βασίζονται σε μακροεντολές και περιλαμβάνουν έγγραφα του Word και αντ’ αυτού έχει αναπτύξει αρχεία LNK για να φορτώσει τα payload του.
Όσον αφορά τα δολώματα phishing και τις μεθόδους social engineering που παρατηρήθηκαν στην εκστρατεία, οι χάκερς εμφανίστηκαν ως πυρηνικοί εμπειρογνώμονες από τις ΗΠΑ και προσέγγισαν τους στόχους τους με την προσφορά να αναθεωρήσουν σχέδια για θέματα εξωτερικής πολιτικής.
Σε πολλές περιπτώσεις, οι επιτιθέμενοι εισάγουν άλλες προσωπικότητες στη συζήτηση για να προσθέσουν μια αίσθηση νομιμότητας και να δημιουργήσουν μια σχέση με τον στόχο.
Η μίμηση ή η υιοθέτηση ψεύτικης προσωπικότητας από το Charming Kitten σε επιθέσεις phishing έχει τεκμηριωθεί, το ίδιο και η χρήση ‘sock puppets’ για τη δημιουργία ρεαλιστικών θεμάτων συζήτησης.
Επιθέσεις σε Windows
Αφού κερδίσει την εμπιστοσύνη του στόχου, ο απειλητικός παράγοντας Charming Kitten στέλνει έναν κακόβουλο σύνδεσμο που περιέχει μια μακροεντολή Google Script, η οποία ανακατευθύνει το θύμα σε μια διεύθυνση URL του Dropbox.
Αυτή η εξωτερική πηγή φιλοξενεί ένα αρχείο RAR προστατευμένο με κωδικό πρόσβασης με ένα malware dropper που αξιοποιεί τον κώδικα PowerShell και ένα αρχείο LNK για τη σταδιοποίηση του κακόβουλου λογισμικού από έναν πάροχο cloud hosting.
Το τελικό ωφέλιμο φορτίο είναι το GorjolEcho, ένα απλό backdoor που δέχεται και εκτελεί εντολές από τον απομακρυσμένο χειριστή του.
Για να μην κινήσει υποψίες, το GorjolEcho θα ανοίξει ένα PDF με θέμα σχετικό με τη συζήτηση που είχαν οι επιτιθέμενοι με τον στόχο προηγουμένως.
Δείτε επίσης: Το νέο Big Head ransomware εμφανίζει ψεύτικη ειδοποίηση για ενημέρωση Windows
Επιθέσεις σε macOS
Εάν το θύμα χρησιμοποιεί macOS, το οποίο συνήθως αντιλαμβάνονται οι χάκερ αφού αποτυγχάνουν να τους μολύνουν με το ωφέλιμο φορτίο των Windows, στέλνουν έναν νέο σύνδεσμο στο “library-store[.]camdvr[.]org” που φιλοξενεί ένα αρχείο ZIP που μεταμφιέζεται σε RUSI Εφαρμογή VPN (Royal United Services Institute).
Κατά την εκτέλεση του αρχείου AppleScript στο αρχείο, μια εντολή curl αντλεί το NokNok payload και δημιουργεί ένα backdoor στο σύστημα του θύματος.
Το NokNok δημιουργεί ένα αναγνωριστικό συστήματος και στη συνέχεια χρησιμοποιεί τέσσερις ενότητες δέσμης ενεργειών bash για να ρυθμίσει την επιμονή, να εγκαθιδρύσει επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2) και να αρχίσει να μεταφέρει δεδομένα σε αυτόν.
Το NokNok malware συλλέγει πληροφορίες συστήματος, οι οποίες περιλαμβάνουν την έκδοση του λειτουργικού συστήματος, τις εκτελούμενες διεργασίες και τις εγκατεστημένες εφαρμογές.
Το NokNok κρυπτογραφεί όλα τα δεδομένα που συλλέγει, τα κωδικοποιεί σε μορφή Base64 και τα κάνει exfiltrate.
Η ProofPoint αναφέρει επίσης ότι το NokNok μπορεί να διαθέτει πιο συγκεκριμένες λειτουργίες που σχετίζονται με την κατασκοπεία μέσω άλλων αθέατων ενοτήτων.
Οι υποψίες βασίζονται σε ομοιότητες κώδικα με το GhostEcho, που είχε αναλυθεί προηγουμένως από την Check Point.
Αυτό το backdoor διέθετε modules που επέτρεπαν τη λήψη screenshot, την εκτέλεση εντολών και τον καθαρισμό του ίχνους μόλυνσης. Είναι πιθανό ότι το NokNok διαθέτει και αυτές τις λειτουργίες.
Συνολικά, αυτή η εκστρατεία αποδεικνύει ότι ο απειλητικός παράγοντας Charming Kitten έχει υψηλό βαθμό προσαρμοστικότητας, είναι ικανό να στοχεύει συστήματα macOS όταν είναι απαραίτητο και υπογραμμίζει την αυξανόμενη απειλή εξελιγμένων εκστρατειών κακόβουλου λογισμικού για τους χρήστες macOS.
Πηγή πληροφοριών: bleepingcomputer.com
