Поделиться
Иранские хакеры плотно взялись за компьютеры под macOS
Активная APT-группа из Ирана CharmingKitten стала использовать новые вредоносы для атак на владельцев компьютеров под macOS. Вначале, правда, они пытаются загрузить жертвам бэкдор под Windows.
Очаровательный котенок со скрытой камерой
Эксперты по безопасности компании Proofpoint сообщили о новой кампании, нацеленной на обладателей компьютеров под управлением macOS.
Эту кампанию связали с APT-группировкой Charming Kitten. В сфере информбезопасности существует консенсус, что это киберподразделение Корпуса стражей исламской революции Ирана.
CharmingKitten также известен как APT42 и Phosphorus. По данным фирмы Mandiant, с 2015 г. эта группировка произвела как минимум 30 операций в 14 странах мира. В прошлом Charming Kitten преимущественно полагалась на документы Word, содержащие вредоносные компоненты.
Теперь тактика поменялась. С мая 2023 г. группировка переключилась на файлы LNK, которые доставлялись с фишинговыми письмами.
Стоит отметить, что Charming Kitten использует довольно продвинутый метод фишинга, имитируя многостороннюю переписку, тем самым усиливая у жертвы впечатление ее легитимности.
Windows, затем...
В ходе последних атак хакеры выдавали себя за ученых-ядерщиков из США, за британских экспертов по внешней политике (в т. ч. по Ирану) из Королевского института объединенных служб по исследованиям в области обороны и безопасности (RUSI).
Втеревшись в доверие, хакеры отправляли вредоносную ссылку с макросом Google Script, которая переадресовывала жертву на Dropbox. Там хранился RAR-архив с дроппером, который запускал код PowerShell, и файлом LNK, который выкачивал с облака новый компонент.
В конечном итоге в систему загружается бэкдор GorjolEcho, а для маскировки — PDF с содержимым, релевантным предыдущей дискуссии жертвы с хакерами.
...и macOS
Но GorjolEcho — это бэкдор под Windows. Если оказывается, что у жертвы macOS (о чем хакеры догадываются, если им не удается заразить целевую систему сразу), то жертве направляется новая ссылка, ведущая на ресурс library-store DOT camdvr DOT org, где размещен ZIP-файл, выдающий себя за установщик VPN-приложения для доступа к ресурсам RUSI.
При запуске скрипта внутри этого архива в систему скачивается бэкдор NokNok. Он собирает системную информацию, сведения о запущенных процессах и установленных приложениях, шифрует, кодирует в формат base64 и выводит на сервер операторов.
Как отмечают эксперты компании Proofpoint, изучившие сэмпл NokNok, его шпионская функциональность может быть намного шире. Код вредоноса сильно напоминает код другой шпионской программы — GhostEcho, которую ранее смогли изучить эксперты фирмы CheckPoint.
Тот бэкдор мог докачивать и использовать различные модули для снятия скриншотов, запуска команд и устранения следова заражения. Вероятно, NokNok способен выполнять те же операции.
В целом, как указывается в публикации Proofpoint, Charming Kitten демонстрирует высокую адаптивность и позволяет в случае необходимости атаковать и macOS. Это указывает на растущую угрозу пользователям систем Apple со стороны операторов APT-кампаний.
«Кибершпионы повсеместно продолжают оттачивать свое мастерство и расширять инструментарий, — констатирует Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Это вполне естественный процесс, потому что то, что срабатывало вчера, не сработает завтра. Что оказывается постоянным, так это уязвимость людей перед фишинговыми атаками. Никакие технические средства не помогут, если человек сам не способен распознать угрозу или даже не подозревает о ней. Защите от фишинга нужно обучаться постоянно, не рассчитывая на то, что вас нельзя обвести вокруг пальца. Даже крепкие профессионалы иногда оказываются жертвами профессиональных фишеров».
Короткая ссылка
