NokNok Mac マルウェア
イランの APT35 として特定された国家サイバー犯罪者は、Windows と macOS の両方のオペレーティング システムに影響を与える一連の標的型スピア フィッシング攻撃に関与しています。これらの攻撃は、特殊なマルウェア ツールを使用してシステムに侵入することを目的としています。 APT35攻撃の分析により、ハッカーがさまざまなクラウド ホスティング プロバイダーを利用して独自の感染チェーンを確立していることが明らかになりました。
サイバー犯罪者は、これまで知られていなかった 2 つのマルウェアの脅威も利用しました。 Windows システムでは、APT35 は GorjolEcho という名前の新しく発見された PowerShell バックドアを利用しました。あるいは、被害者が Apple デバイスを使用していることが判明した場合、ハッカーは NokNok として追跡される Mac マルウェア脅威を含む改変された感染チェーンに切り替えました。
これは、攻撃者が macOS 特有の脆弱性を悪用しようとしていることを示しています。
APT35 サイバー犯罪グループはスピアフィッシング手法を進化させ続けている
APT35 は、Charming Kitten、TA453、Mint Sandstorm、Yellow Garuda としても知られ、イランのイスラム革命防衛隊 (IRGC) とつながりのある著名な脅威グループです。このグループは少なくとも 2011 年から活動を続けており、個人や組織を標的としたさまざまなサイバー作戦に従事しています。 APT35 はスパイ活動を執拗に追求する中で、マルチペルソナ偽装として知られる戦術を採用しました。これは、攻撃者が複数の ID を装い、ターゲットを欺き、機密情報への不正アクセスを取得するものです。
APT35 が採用しているこれらの高度な技術は、標的を絞ったサイバースパイ活動を実行するための彼らの継続的な取り組みを浮き彫りにしています。このグループは、注目を集めるターゲットを戦略的に選択し、フィッシングやカスタム構築ツールの利用などのさまざまな戦術を使用して、システムを侵害し、機密情報への不正アクセスを取得します。 APT35 は、 POWERSTARとして知られる PowerShell インプラントの強化版 (GhostEcho または CharmPower とも呼ばれる) を利用して戦術を更新したことが観察されています。
2023 年 5 月中旬に発生した特定の攻撃シーケンスでは、APT35 の攻撃者がフィッシング キャンペーンを開始しました。彼らの標的となったのは、外交を専門とする米国のシンクタンクに所属する核安全保障の専門家だった。この攻撃では、Google Script マクロを装った悪意のあるリンクを含む詐欺メールが送信されました。クリックすると、リンクはターゲットを RAR アーカイブをホストする Dropbox URL にリダイレクトします。
APT35 は、さまざまな攻撃チェーンを使用して、NokNok マルウェアで Apple ユーザーを侵害しました
選択されたターゲットが Apple デバイスを利用している場合、APT35 はその方法を調整し、二次戦術を実行すると報告されています。これには、Mach-O バイナリ ファイルを組み込んだ ZIP アーカイブを含む 2 番目の電子メールの送信が含まれます。このファイルは VPN アプリケーションを装っていましたが、実際には AppleScript として機能していました。このスクリプトを実行すると、リモート サーバーとの接続が確立され、NokNok と呼ばれるバックドアのダウンロードが開始されます。
NokNok バックドアは、インストール時に、さまざまな機能を持つ最大 4 つのモジュールを取得します。これらのモジュールを使用すると、実行中のプロセス、インストールされているアプリケーション、システム メタデータなどの情報を収集できます。さらに、LaunchAgent を利用することで、侵害されたシステム内での永続性の確立が容易になります。
特に、これらのモジュールの機能は、APT35 で使用されていることが以前に特定されたツールである POWERSTAR に関連するモジュールと著しく似ています。これは、2 つのマルウェア株の機能と目的が大きく重複していることを示しています。さらに、NokNok は、2017 年に同じサイバー犯罪グループによるものと以前に指摘された macOS マルウェアとコードの類似性を示しています。
戦術をさらに強化するために、ハッカーは詐欺的なファイル共有 Web サイトも設立しました。この Web サイトは、訪問者の指紋を採取し、潜在的な被害者に関する情報を収集し、攻撃の成功を監視する追跡メカニズムとして機能する可能性があります。
TA453 が採用しているこれらの適応技術は、Apple ユーザーをターゲットにしてそのシステムを悪用しようとする継続的な取り組みを示しています。これは、ソフトウェアの定期的な更新、信頼できるウイルス対策ソリューションの採用、電子メールの添付ファイルの操作や信頼できないソースからのファイルのダウンロードの際の注意など、強力なセキュリティ慣行を維持することの重要性を強調しています。進化する脅威に関する情報を常に入手し、包括的なセキュリティ対策を実装することで、ユーザーは APT35 のような脅威アクターの活動から身を守ることができます。
