Güvenlik araştırmacıları, hackerların macOS sistemlerini hedefleyen yeni Noknok kötü amaçlı yazılım kullandıkları büyüleyici yavru kedi apt grubuna atfettikleri yeni bir kampanya gözlemlediler.
Kampanya Mayıs ayında başladı ve daha önce gözlemlenenden farklı bir enfeksiyon zincirine güveniyor ve LNK dosyaları, gruptan geçmiş saldırılarda görülen tipik kötü niyetli kelime belgeleri yerine yükleri dağıtıyor.
Maniant'a göre, büyüleyici kedi de APT42 veya fosfor olarak da bilinir ve 2015'ten bu yana 14 ülkede en az 30 operasyon başlattı.
Google, tehdit oyuncusunu İran devletine, daha spesifik olarak İslam Devrimci Muhafız Kolordusu'na (IRGC) bağladı.
Eylül 2022'de ABD hükümeti tehdit grubunun üyelerini belirlemeyi ve ücret almayı başardı.
Proofpoint, tehdit oyuncusunun artık bağcıklı kelime belgelerini içeren makro tabanlı enfeksiyon yöntemlerini terk ettiğini ve bunun yerine LNK dosyalarını yüklerini yüklemek için dağıttığını bildirdi.
Kampanyada görülen kimlik avı yemleri ve sosyal mühendislik yöntemleri ile ilgili olarak, bilgisayar korsanları ABD'den nükleer uzmanlar olarak poz verdi ve dış politika konularında taslakları gözden geçirme teklifiyle hedeflere yaklaştı.
Birçok durumda, saldırganlar bir meşruiyet duygusu eklemek ve hedefle bir ilişki kurmak için konuşmaya başka kişiler ekler.
Charming Kitten’in kimlik avı saldırılarında kimliğine bürünmesi veya sahte persona varsayımı belgelenmiştir ve bu nedenle gerçekçi konuşma konuları oluşturmak için 'çorap kuklaları' kullanır.
Hedefin güvenini kazandıktan sonra Charming Yavru, bir Google Script makrou içeren kötü amaçlı bir bağlantı göndererek kurbanı bir Dropbox URL'sine yönlendirir.
Bu harici kaynak, bir bulut barındırma sağlayıcısından kötü amaçlı yazılımları düzenlemek için PowerShell kodunu ve LNK dosyasını kullanan bir kötü amaçlı yazılım damlası ile şifre korumalı bir RAR arşivine barındırır.
Son yük, uzak operatörlerinden komutları kabul eden ve yürüten basit bir arka kapı olan Gorjolecho'dur.
Şüphe yükseltmekten kaçınmak için Gorjolecho, saldırganların daha önce hedefle yaptığı tartışma ile ilgili bir konuyla ilgili bir PDF açacak.
Kurban, bilgisayar korsanlarının Windows yükü ile enfekte edemedikten sonra genellikle fark ettikleri macOS kullanıyorsa, Rusi olarak maskelenen bir fermuar dosyasını barındıran “kütüphane mağazası [.] Camdvr [.] Org” a yeni bir bağlantı gönderirler. (Royal United Hizmetler Enstitüsü) VPN Uygulaması.
Arşivde Apple komut dosyası dosyasını yürütürken, bir Curl komutu Noknok yükünü getirir ve kurbanın sistemine bir arka kapı oluşturur.
Noknok bir sistem tanımlayıcısı oluşturur ve daha sonra kalıcılık ayarlamak, komut ve kontrol (C2) sunucusu ile iletişim kurmak ve daha sonra verileri ona pessit etmeye başlamak için dört BASH komut dosyası modülü kullanır.
Noknok kötü amaçlı yazılım, işletim sisteminin sürümünü, çalışma işlemlerini ve yüklü uygulamaları içeren sistem bilgilerini toplar.
Noknok, toplanan tüm verileri şifreler, baz64 formatında kodlar ve pessiltratlar.
Proofpoint ayrıca Noknok'un diğer görünmeyen modüller aracılığıyla casuslukla ilgili daha spesifik işlevlere sahip olabileceğini de belirtiyor.
Şüphe, daha önce kontrol noktası ile analiz edilen Ghostecho ile kod benzerliklerine dayanmaktadır.
Bu arka kapı, ekran görüntüleri, komut yürütme ve enfeksiyon izinin temizlenmesine izin veren modüller içeriyordu. Noknok'un da bu işlevlere sahip olması muhtemeldir.
Genel olarak, bu kampanya, büyüleyici yavru kedinin yüksek derecede uyarlanabilirliğe sahip olduğunu, gerektiğinde macOS sistemlerini hedefleyebildiğini ve macOS kullanıcılarına artan sofistike kötü amaçlı yazılım kampanyaları tehdidini vurguladığını gösteriyor.
Yeni PowerExchange Kötü Yazılım Backroors Microsoft Exchange Sunucuları
Apple, IMessage aracılığıyla Üçgenleme Casus Yazılımını Dağıtarak Sıfır Günlerini Düzeltiyor
Asylum Ambuscade hacker'ları siber suçları casuslukla karıştırın
QBOT kötü amaçlı yazılım, cihazları enfekte etmek için Windows Wordpad exe'yi kötüye kullanır
"Operasyon Magalenha" 30 Portekiz bankasının kimlik bilgilerini hedefliyor
Kaynak: Bleeping Computer