探索网络安全新技术
攀登黑客技术最高峰

APT35 将针对 Mac 系统定制恶意软件进行定向攻击

与伊朗有联系的 APT35 组织在针对媒体成员时使用新工具添加后门,制作了特定的 Mac 恶意软件。

APT35 将针对 Mac 系统定制恶意软件进行定向攻击-威武网安

伊朗相关的高级持续性威胁(APT)组织APT35(又称迷人的小猫、TA453和玳瑁)开发了专门定制的Mac恶意软件,以对民间社会成员实施有针对性的网络攻击

最近Proofpoint的研究表明,这种名为”NokNok”的Mac恶意软件是在该国家支持的网络间谍组织向一位美国外交事务专注的智库核安全专家的公共媒体联系人发送对话诱饵之后发现的。这封电子邮件声称是皇家联合服务研究所的高级研究员,并请求对一个所谓的“全球安全背景下的伊朗”项目提供反馈,并请求允许发送草案以供审查。攻击者启动了一系列无害的电子邮件交互,以建立信任和关系,之后他们向目标发送了一个恶意链接,该链接是一个Google Script宏,会将目标重定向到一个Dropbox URL。在那里,目标可以访问一个包含恶意LNK文件的密码保护的.rar文件,进而下载NokNok。

APT35战术的演变

这次攻击很可能是该组织更广泛的攻击活动的一部分,该攻击活动的特点是更新了网络攻击武器库。

上周,Volexity发表了有关APT35的研究,在该研究中详细描述了针对以色列记者的钓鱼攻击活动,使用的是“草案报告”诱饵,也使用了提供密码保护的.rar文件传递恶意LNK文件的感染程序。该攻击也像智库事件一样,由攻击者发送一系列无害的电子邮件与目标建立信任。

在该攻击中,载荷是一个名为PowerStar的Windows代码。Proofpoint的高级威胁研究员Joshua Miller表示,他的公司也追踪了Windows威胁,称其为”GorjoEcho”。

他说: “GorjolEcho是Proofpoint对Volexity PowerStar的名称。 NokNok几乎可以肯定是PowerStar / GorjolEcho的Mac版本。”

他补充说,APT35曾试图传送GorjolEcho,但面对非Windows环境时,它转向使用NokNok,这是专门针对苹果设备的感染链。

避免Microsoft的宏保护

Miller指出,使用.rar和.LNK文件与APT35的典型感染链不同,后者通常使用VBA宏或远程模板注入。他说,Microsoft默认禁用从Internet下载的宏已导致威胁行为者采用新的战术、技术和过程来传递恶意软件。

他说: “这包括采用LNK文件作为整体攻击链的一部分。’单击以启用宏’的技巧不再有效地用于威胁行为者传递恶意软件。”

他声称,使用LNK文件并不一定比Word宏更危险,因为包括LNK的攻击链可能需要更多的人为交互,从而可能引入更多的检测机会。他说: “例如,一封电子邮件可能包含一个PDF附件,其中包含一个指向包含LNK以安装恶意软件的密码保护zip的URL,Microsoft有效地使启用宏的文档在传递恶意软件方面的用处大大减少了,迫使威胁行为者不得不适应并尝试新的方法,包括更加复杂的攻击链。”

Miller补充说: “在APT35的情况下,LNK是他们不断发展以增加恶意软件传递效果的一个例子。其他尝试历史上包括宏和远程模板注入。”

确定APT35的责任

Proofpoint表示,根据与先前攻击活动的代码相似以及整体攻击战术、技术和过程的相似之处,可以“高度自信”地将该活动归因于APT35。

研究人员指出: “Proofpoint继续评估TA453是在伊斯兰革命卫队(IRGC)的支持下运作,具体来说是IRGC情报组织(IRGC-IO)。这一评估基于各种证据,包括迷人的小猫报告和IRGC单位编号的重叠。”

为什么针对这些特定的以色列目标进行最新的攻击活动?Proofpoint的博客指出,在全面协议谈判继续进行,德黑兰在其影响范围内面临越来越大的孤立的情况下,APT35“正在将其绝大部分的目标集中在可能影响这些外交政策的专家身上。”

根据Mandiant最近发布的一篇博客文章,APT35通常针对中东的军事、外交和政府人员;媒体、能源和国防工业基地组织;以及工程、商业服务和电信行业。特别是,“APT35的行动广泛而深入,特别是在复杂的社交工程方面,这表明该组织在其他领域拥有充足的资源,并且通常依靠钓鱼攻击来最初入侵组织。”

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《APT35 将针对 Mac 系统定制恶意软件进行定向攻击》
文章链接:https://www.wevul.com/1881.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册