El actor del estado-nación iraní conocido como TA453 ha sido vinculado a un nuevo conjunto de ataques de phishing selectivo que infectan los sistemas operativos Windows y macOS con malware.
«TA453 finalmente usó una variedad de proveedores de alojamiento en la nube para ofrecer una cadena de infección novedosa que implementa la puerta trasera GorjolEcho de PowerShell recientemente identificada», Proofpoint dicho en un nuevo informe.
«Cuando se le dio la oportunidad, TA453 portó su malware e intentó lanzar una cadena de infección con sabor a Apple denominada NokNok. TA453 también empleó la suplantación de identidad de varias personas en su interminable búsqueda de espionaje».
TA453, también conocido por los nombres APT35, Charming Kitten, Mint Sandstorm y Yellow Garuda, es un grupo de amenazas vinculado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán que ha estado activo desde al menos 2011. Más recientemente, Volexity destacó el uso del adversario de una versión actualizada de un implante Powershell llamado CharmPower (también conocido como GhostEcho o POWERSTAR).
En la secuencia de ataque descubierta por la empresa de seguridad empresarial a mediados de mayo de 2023, el equipo de piratas informáticos envió correos electrónicos de phishing a un experto en seguridad nuclear en un grupo de expertos con sede en EE. UU. centrado en asuntos exteriores que entregó un enlace malicioso a una macro de Google Script que redirija el objetivo a una URL de Dropbox que aloje un archivo RAR.
Dentro del archivo hay un cuentagotas LNK que inicia un procedimiento de varias etapas para finalmente implementar GorjolEcho, que, a su vez, muestra un documento PDF de señuelo, mientras espera de forma encubierta las cargas útiles de la siguiente etapa desde un servidor remoto.
Pero al darse cuenta de que el objetivo está usando una computadora Apple, se dice que TA453 modificó su modus operandi para enviar un segundo correo electrónico con un archivo ZIP que incrusta un binario Mach-O que se hace pasar por una aplicación VPN, pero en realidad es un AppleScript. que llega a un servidor remoto para descargar una puerta trasera basada en un script Bash llamada NokNok.
🔐 Gestión de acceso privilegiado: aprenda a superar desafíos clave
Descubra diferentes enfoques para conquistar los desafíos de la gestión de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.
NokNok, por su parte, obtiene hasta cuatro módulos que son capaces de recopilar procesos en ejecución, aplicaciones instaladas y metadatos del sistema, así como configurar la persistencia utilizando LaunchAgents.
Los módulos «reflejan la mayoría de la funcionalidad» de los módulos asociados con CharmPower, con NokNok compartiendo algunos códigos fuente superpuestos con software malintencionado para macOS previamente atribuido al grupo en 2017.
El actor también puso en uso un sitio web falso para compartir archivos que probablemente funciona para tomar huellas dactilares de los visitantes y actuar como un mecanismo para rastrear a las víctimas exitosas.
«TA453 continúa adaptando su arsenal de malware, implementando nuevos tipos de archivos y apuntando a nuevos sistemas operativos», dijeron los investigadores, y agregaron que el actor «continúa trabajando hacia sus mismos objetivos finales de reconocimiento intrusivo y no autorizado» al mismo tiempo que complica los esfuerzos de detección.