The Hacker News 網站披露，疑似名為 TA453 的伊朗黑客組織與一系列新魚叉式網絡釣魚攻擊有關，這些攻擊使用惡意軟件感染 Windows 和 macOS 操作系統。

Proofpoint 在一份報告中指出 TA453 使用各種云托管服務提供了一個新感染鏈，該鏈部署了新確定的 PowerShell 后門 GorjolEcho。一旦得到機會，TA453 就會移植其惡意軟件，并試圖啟動一個名為 NokNok 的蘋果風格的感染鏈。此外，研究人員發現 TA453 還在其無休止的間諜活動中使用了多角色模擬。

關于 TA453

TA453 也被稱為 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda，是一個與伊朗伊斯蘭革命衛隊（IRGC）有關的網絡威脅組織，至少自 2011 年以來一直活躍。

近期，網絡安全公司 Volexity 強調黑客使用了一種名為 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 發現的某次網絡攻擊活動中，黑客團隊向一家專注于外交事務的美國智庫的核安全專家發送了釣魚電子郵件，該專家發送了一個指向谷歌腳本宏的惡意鏈接，該鏈接將目標重定向到托管 RAR 檔案的 Dropbox URL。

1688700821_64a787951af2e946f28e0.png!small?1688700821244

值得一提的是，文件中有一個 LNK 滴管，它啟動了一個多階段的過程，最終部署 GorjolEcho，然后顯示一個誘餌 PDF 文檔，同時秘密等待來自遠程服務器的下一階段有效載荷。一旦意識到受害目標使用的是蘋果電腦后，TA453 就會調整其整個操作方式，發送第二封電子郵件，郵件中包含一個 ZIP 檔案，嵌入了偽裝成 VPN 應用程序的 Mach-O 二進制文件，但實際上是一個 AppleScript，它可以連接到遠程服務器下載一個名為 NokNok 的基于 Bash 腳本的后門。

就 NokNok 而言，它能夠獲取多達四個模塊，這些模塊能夠收集正在運行的進程、已安裝的應用程序和系統元數據，并使用 LaunchAgent 設置持久性。這些模塊“反映”與 CharmPower 相關模塊的大部分功能。此外，NokNok 還共享了一些源代碼，這些源代碼與 2017 年該團伙使用的 macOS 惡意軟件代碼重疊。

TA453 攻擊者還使用了一個虛假的文件共享網站，該網站可能會對訪問者進行指紋識別，并作為追蹤成功受害者的機制。

最后，研究人員表示 TA453 能夠不斷調整其惡意軟件庫，部署新的文件類型，并針對新的操作系統。

文章來源：https://thehackernews.com/2023/07/iranian-hackers-sophisticated-malware.html