探索网络安全新技术
攀登黑客技术最高峰

伊朗黑客针对Windows和MacOS用户进行恶意软件攻击

伊朗黑客针对Windows和MacOS用户进行恶意软件攻击-威武网安

被称为 TA453 的伊朗民族国家黑客与一系列新的鱼叉式网络钓鱼攻击有关,这些攻击用恶意软件感染 Windows 和 macOS 操作系统。

Proofpoint在一份新报告中表示:“TA453 最终使用了各种云托管提供商来提供一种新型感染链,该感染链部署了新识别的 PowerShell 后门 GorjolEcho。”

“当有机会时,TA453 移植了其恶意软件,并试图启动一个名为 NokNok 的苹果风格感染链。TA453 还在其无休止的间谍活动中采用了多重角色模拟。”

TA453,也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda,是一个与伊朗伊斯兰革命卫队 (IRGC) 有联系的威胁组织,该组织至少自 2011 年以来一直活跃。最近,Volexity 强调了对手的使用Powershell 植入程序的更新版本称为CharmPower(又名 GhostEcho 或 POWERSTAR)。

在该企业安全公司于 2023 年 5 月中旬发现的攻击序列中,黑客团队向美国一家专注于外交事务的智囊团的核安全专家发送了网络钓鱼电子邮件,该专家传递了一个指向 Google Script 宏的恶意链接,将目标重定向到托管 RAR 存档的 Dropbox URL。

伊朗黑客针对Windows和MacOS用户进行恶意软件攻击-威武网安

文件中存在一个 LNK 释放器,它启动一个多阶段过程,最终部署 GorjolEcho,然后显示一个诱饵 PDF 文档,同时秘密等待来自远程服务器的下一阶段有效负载。

但在意识到目标使用的是苹果电脑后,据说 TA453 调整了其作案方式,发送了第二封包含 ZIP 存档的电子邮件,其中嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件,但实际上是 AppleScript它会连接到远程服务器以下载名为 NokNok 的基于 Bash 脚本的后门。

NokNok 则获取多达四个模块,这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据,并使用 LaunchAgents 设置持久性。

这些模块“镜像了与 CharmPower 相关的模块的大部分功能”,NokNok 共享了一些与2017 年该组织所为的macOS 恶意软件重叠的源代码。

该攻击者还使用了一个虚假的文件共享网站,该网站可能会对访问者进行指纹识别,并充当跟踪成功受害者的机制。

研究人员表示:“TA453 继续调整其恶意软件库,部署新颖的文件类型,并针对新的操作系统。”并补充说,该攻击者“继续致力于实现侵入性和未经授权的侦察的相同最终目标”,同时使检测工作变得更加复杂。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《伊朗黑客针对Windows和MacOS用户进行恶意软件攻击》
文章链接:https://www.wevul.com/1838.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册