前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >伊朗黑客正在瞄准 Windows 和 macOS 用户

伊朗黑客正在瞄准 Windows 和 macOS 用户

作者头像
FB客服
发布2023-08-08 14:19:44
2700
发布2023-08-08 14:19:44
举报
文章被收录于专栏:FreeBuf
The Hacker News 网站披露,疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关,这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。

Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链,该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会,TA453 就会移植其恶意软件,并试图启动一个名为 NokNok 的苹果风格的感染链。此外,研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。

关于 TA453

TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda,是一个与伊朗伊斯兰革命卫队(IRGC)有关的网络威胁组织,至少自 2011 年以来一直活跃。

近期,网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower(又名 GhostEcho 或 POWERSTAR)的 Powershell 植入物更新版本。2023 年 5 月中旬,Volexity 发现的某次网络攻击活动中,黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件,该专家发送了一个指向谷歌脚本宏的恶意链接,该链接将目标重定向到托管 RAR 档案的 Dropbox URL。

值得一提的是,文件中有一个 LNK 滴管,它启动了一个多阶段的过程,最终部署 GorjolEcho,然后显示一个诱饵 PDF 文档,同时秘密等待来自远程服务器的下一阶段有效载荷。一旦意识到受害目标使用的是苹果电脑后,TA453 就会调整其整个操作方式,发送第二封电子邮件,邮件中包含一个 ZIP 档案,嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件,但实际上是一个 AppleScript,它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。

就 NokNok 而言,它能够获取多达四个模块,这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据,并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外,NokNok 还共享了一些源代码,这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。

TA453 攻击者还使用了一个虚假的文件共享网站,该网站可能会对访问者进行指纹识别,并作为追踪成功受害者的机制。

最后,研究人员表示 TA453 能够不断调整其恶意软件库,部署新的文件类型,并针对新的操作系统。

https://thehackernews.com/2023/07/iranian-hackers-sophisticated-malware.html

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-07-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • TA453 也被称为 APT35、Charming Kitten、Mint Sandstorm 和 Yellow Garuda,是一个与伊朗伊斯兰革命卫队(IRGC)有关的网络威胁组织,至少自 2011 年以来一直活跃。
相关产品与服务
云托管 CloudBase Run
云托管 CloudBase Run(Tencent CloudBase Run,TCBR)是由云开发提供的新一代云原生应用引擎(App Engine 2.0),支持托管任意语言和框架编写的容器化应用。和云开发其他产品(云函数、云数据库、云存储、扩展应用、HTTP 访问服务、静态网站托管等)一起为用户提供云原生一体化开发环境和工具平台,为开发者提供高可用、自动弹性扩缩的后端云服务。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档