伊朗黑客正在瞄准 Windows 和 macOS 用户

Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链，该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会，TA453 就会移植其恶意软件，并试图启动一个名为 NokNok 的苹果风格的感染链。此外，研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。

关于 TA453

TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一个与伊朗伊斯兰革命卫队（IRGC）有关的网络威胁组织，至少自 2011 年以来一直活跃。

近期，网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 发现的某次网络攻击活动中，黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL。

值得一提的是，文件中有一个 LNK 滴管，它启动了一个多阶段的过程，最终部署 GorjolEcho，然后显示一个诱饵 PDF 文档，同时秘密等待来自远程服务器的下一阶段有效载荷。一旦意识到受害目标使用的是苹果电脑后，TA453 就会调整其整个操作方式，发送第二封电子邮件，邮件中包含一个 ZIP 档案，嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件，但实际上是一个 AppleScript，它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。

就 NokNok 而言，它能够获取多达四个模块，这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据，并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外，NokNok 还共享了一些源代码，这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。

TA453 攻击者还使用了一个虚假的文件共享网站，该网站可能会对访问者进行指纹识别，并作为追踪成功受害者的机制。

最后，研究人员表示 TA453 能够不断调整其恶意软件库，部署新的文件类型，并针对新的操作系统。

https://thehackernews.com/2023/07/iranian-hackers-sophisticated-malware.html