„Charming Kitten“ įsilaužėliai taikosi į „macOS“ naudotojus, pasitelkdami naują „NokNok“ kenkėjišką programą

parašė Gabrielė E. Hall - - 2023-07-12

„Charming Kitten“ kibernetinių nusikaltėlių grupė rado naują taktikos būdą

„Charming Kitten“ įsilaužėliai pasitelkė naują kenkėjišką programą „Mac“ naudotojai gali tapti naujos kenkėjiškos programos aukomis

Kibernetinio saugumo tyrinėtojai atrado naują liūdnai pagarsėjusios hakerių grupės „Charming Kitten APT“, dar žinomos kaip „APT42“ ar „Phosphorus“, kampaniją. Gegužės mėnesį prasidėjusioje kampanijoje pabrėžiama besikeičianti grupės taktika ir pristatomas naujas kenkėjiškos programos variantas, pavadinimu „NokNok“, kuris yra specialiai sukurtas „macOS“ sistemoms. Ši raida rodo „Charming Kitten“ infekcijos grandinės pasikeitimą, nes dabar vietoj anksčiau pastebėtų kenkėjiškų „Word“ dokumentų naudojami „LNK“ failai.

„Charming Kitten“ aktyviai veikia nuo 2015 metų. Ši grupė turi tvirtus ryšius su Irano valstybe, ypač su Islamo revoliucijos gvardijos korpusu (IRGC). Pasak „Mandiant“^[1], „Charming Kitten“ atliko daugiau nei 30 operacijų, o veiksmai buvo pastebėti net 14 šalių. Pažymėtina ir tai, kad 2022 metų rugsėjį JAV vyriausybė sėkmingai identifikavo kelis grupės narius^[2] ir apkaltino juos, atskleisdama jų veiklą ir veikimo būdą.

Grupuotės veiklos seka ir naudojami socialinės inžinerijos metodai

Naujausioje „Charming Kitten“ kampanijoje naudojami sudėtingi sukčiavimo būdai ir socialinės inžinerijos metodai. Kibernetiniai užpuolikai apsimetė esantys JAV branduolinės programos ekspertai, nusprendę priartėti prie savo aukų su viliojančiu pasiūlymu peržiūrėti projektus, susijusius su užsienio politikos klausimais. Kibernetiniai nusikaltėliai į pokalbį įtraukė papildomų asmenybių, kad sukurtų patikimumo įspūdį ir lengviau užmegztų ryšį, sukurdami teisėtos diskusijos iliuziją.

„Charming Kitten“ įgijo savo taikinio pasitikėjimą prieš pateikiant kenkėjišką nuorodą su „Google Script“ makrokomanda, nukreipiančia aukas į „Dropbox“ URL. Slaptažodžiu apsaugotas „RAR“ archyvas, saugomas išoriniame šaltinyje, šiuo atveju naudojamas kaip kenkėjiškos programos pateikimo priemonė. Norint inscenizuoti kenkėjišką programą iš debesies paslaugų teikėjo, naudojamas „PowerShell“ kodas ir „LNK“ failas. „GorjolEcho“, galutinė naudingoji apkrova, veikia kaip taip, jog gali sėkmingai vykdyti komandas, gautas iš nuotolinių operatorių.

Jei „Charming Kitten“ aptinka „macOS“ vartotoją, būna siunčiama nauja nuoroda į „library-store[.]camdvr[.]org“ – svetainę, kurioje yra „ZIP“ failas, užmaskuotas kaip RUSI (Royal United Services Institute) VPN programa. Kai archyve vykdomas „Apple“ scenarijaus failas, paleidžiama „curl“ komanda, leidžianti „NokNok“ naudingajai apkrovai įdiegti užpakalines duris aukos sistemoje. Tam, kad būtų užtikrintas patvarumas, bendravimas su komandų ir valdymo (C2) serveriu ir duomenų išfiltravimas, „NokNok“ generuoja sistemos identifikatorių ir naudoja keturis „bash“ scenarijaus modulius. Ši kenkėjiška programa renka sistemos informaciją, pvz., operacinės sistemos versiją, vykdomus procesus ir įdiegtas programas, taip pat ją užšifruoja, užkoduoja „base64“ formatu ir tuomet išfiltruoja.

Kenkėjiškos kampanijos pasekmės

„NokNok“ kenkėjiškos programos atsiradimas ir tai, kad „Charming Kitten“ pritaikė naujus infekcijos būdus, rodo grupės gebėjimą prisitaikyti ir atkaklumą taikantis į „macOS“ sistemas. Nors „APT42“ grupė anksčiau buvo siejama su makrokomandomis pagrįstais infekcijos metodais, susijusiais su „Word“ dokumentais^[3], pastarasis jų perėjimas prie „LNK“ failų rodo jų norą tobulėti ir išvengti aptikimo.

„NokNok“ egzistavimas atveria duris į anksčiau nematytus modulius, turinčius papildomų su šnipinėjimu susijusių funkcijų. Kodo panašumai tarp „NokNok“ ir „Check Point“ specialistų anksčiau analizuotų „GhostEcho“ užpakalinių durų leidžia manyti, kad kenkėjiška programa gali atlikti tokius veiksmus kaip ekrano kopijų darymas, komandų vykdymas ir infekcijos pėdsakų trynimas. Tai pabrėžia „Charming Kitten“ kenkėjiškų programų kampanijų sudėtingumą ir pritaikomumą.

Šios kampanijos reikšmė neapsiriboja „Charming Kitten“ ir konkrečiais šios grupės taikiniais. Su tokia kampanija pabrėžiama didėjanti grėsmė „MacOS“ naudotojams, nes kibernetiniai nusikaltėliai kuria ir paleidžia sudėtingas kenkėjiškas programas. Vis populiarėjant „MacOS“ sistemoms, pavieniai naudotojai ir organizacijos turi išlikti budrūs, reguliariai atnaujinti savo saugumo priemones ir taikyti aktyvias gynybos strategijas.

Galiausiai, „Charming Kitten“ grupės naudojama „NokNok“ kenkėjiška programa ir strateginis infekcijos metodų pritaikymas išryškina nuolatinius kibernetinio saugumo iššūkius, su kuriais susiduria „macOS“ naudotojai. Tai primena, kad kibernetinės grėsmės nuolat keičiasi bei tobulėja, todėl reikia nuolatinio budrumo ir aktyvių priemonių apsisaugoti nuo sudėtingų šiuolaikinių atakų.

Apie autorių

Gabriel E. Hall - Entuziastinga virusų tyrėja

Gabrielė E. Hall yra entuziastinga virusų tyrėja, kuri dirba Virusai.lt portale beveik dešimtmetį.

Susisiekite su Gabriel E. Hall
Apie kompaniją Esolutions

Šaltiniai

^ APT42: Crooked Charms, Cons, and Compromises. Mandiant. Threat Intelligence.
^ Opsec Mistakes Reveal COBALT MIRAGE Threat Actors. Secureworks. Cybersecurity Threat Intelligence Blog.
^ Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware. Proofpoint. Threat Insight.