O ator estatal iraniano conhecido como TA453 está sendo associado a um novo conjunto de ataques de spear-phishing que infectam os sistemas operacionais Windows e macOS com malware.
"TA453 eventualmente usou uma variedade de provedores de hospedagem em nuvem para entregar uma nova cadeia de infecção que implanta o novo backdoor PowerShell chamado GorjolEcho", afirmou a Proofpoint em um novo relatório.
"Quando teve a oportunidade, o TA453 também usou seu malware para lançar uma cadeia de infecção específica para o sistema operacional da Apple, chamada NokNok.
O TA453 também utilizou a técnica de personificação de múltiplas personas em sua incessante busca por espionagem."
O TA453, também conhecido pelos nomes APT35, Charming Kitten, Mint Sandstorm e Yellow Garuda, é um grupo de ameaças ligado ao Islamic Revolutionary Guard Corps (IRGC) do Irã e está ativo desde pelo menos 2011.
Mais recentemente, a Volexity destacou o uso pelo adversário de uma versão atualizada de um implante PowerShell chamado CharmPower (também conhecido como GhostEcho ou POWERSTAR).
Na sequência de ataques descoberta pela empresa de segurança empresarial em meados de maio de 2023, a equipe de hackers enviou e-mails de phishing para um especialista em segurança nuclear de um think tank com sede nos Estados Unidos focado em assuntos estrangeiros, que continha um link malicioso para uma macro do Google Script que redirecionaria o alvo para um URL do Dropbox que hospedava um arquivo RAR.
Dentro do arquivo, há um LNK dropper que inicia um procedimento de várias etapas para, por fim, implantar o GorjolEcho, que, por sua vez, exibe um documento PDF falso, enquanto secretamente aguarda por payloads de próxima etapa de um servidor remoto.
No entanto, ao perceber que o alvo está usando um computador Apple, o TA453 teria ajustado seu modus operandi para enviar um segundo e-mail com um arquivo ZIP que contém um binário Mach-O que se disfarça como um aplicativo VPN, mas que na realidade é um AppleScript que se conecta a um servidor remoto para baixar um backdoor baseado em script Bash chamado NokNok.
O NokNok, por sua vez, busca até quatro módulos capazes de coletar processos em execução, aplicativos instalados e metadados do sistema, além de estabelecer persistência usando LaunchAgents.
Os módulos "espelham a maioria das funcionalidades" dos módulos associados ao CharmPower, e o NokNok compartilha algumas sobreposições de código fonte com malwares para macOS anteriormente atribuídos ao grupo em 2017.
O ator também utiliza um site falso de compartilhamento de arquivos que provavelmente funciona para identificar visitantes e atuar como um mecanismo para rastrear vítimas bem-sucedidas.
"O TA453 continua a adaptar seu arsenal de malwares, implantando novos tipos de arquivos e visando novos sistemas operacionais", afirmaram os pesquisadores, acrescentando que o ator "continua a trabalhar em direção a seus mesmos objetivos intrusivos e não autorizados de reconhecimento", ao mesmo tempo em que complica os esforços de detecção.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...