TA453 对 LNK 与 MAC 恶意软件的新尝试

安全
随着 JCPOA 谈判的进行,伊朗方面发现自己日益孤立。TA453 继续扮演与中东事务和核安全有关的专家,针对与这些外交政策有关的专家发起攻击。

2023 年 5 月中旬,TA453(又名 Charming Kitten、APT42、Mint Sandstorm、Yellow Garuda)伪装成皇家联合军种研究所(RUSI)的高级研究员,向媒体人发送钓鱼邮件进行攻击。美国一家专注于外交事务智库的专家收到了有关“全球安全背景下的伊朗”的项目反馈,并提供草稿进行审查。攻击者不仅表示会提供酬金,还提供了其他核安全专家的背书。TA453 最终使用云服务投递攻击链,让受害者会下载新开发的 PowerShell 后门 GorjoEcho。

角色扮演

随着 JCPOA 谈判的进行,伊朗方面发现自己日益孤立。TA453 继续扮演与中东事务和核安全有关的专家,针对与这些外交政策有关的专家发起攻击。

image.png-171.8kBimage.png-171.8kB

前期钓鱼邮件

image.png-420.9kBimage.png-420.9kB

后续钓鱼邮件

Proofpoint 的研究人员判断这些账户都是攻击者创建的模拟账户,而不是账户本身被窃。

复杂感染

在进行了电子邮件交互后,TA453 就会通过 Google Macro 发送一个恶意链接。该链接将攻击目标重定向到 Dropbox 的 URL,该 URL 可下载加密的 RAR 文件(Abraham Accords & MENA.rar)。压缩文件中包含一个名为 Abraham Accords & MENA.pdf.lnk的 Dropper,后续会使用 PowerShell 代码从云服务商从下载后续 Payload。

image.png-119.5kBimage.png-119.5kB

完整感染链

后续感染阶段

恶意软件使用的 Gorjol 函数通过 .txt 文件下载 base64 编码的数据,解码后如下所示:

image.png-237.1kBimage.png-237.1kB

Borjol 函数

Borjol 通过合法的 Clever Cloud 服务使用 AES 加密的 HTTPS 链接与 fuschia-rhinestone.cleverapps[.]io 进行通信。返回的数据解密为另一个 Borjol 函数,该函数使用之前的变量并解密 PowerShell 后门 GorjolEcho。

GorjolEcho 首先显示一个诱饵 PDF 文档,该文档与钓鱼文档一致。后门将信息编码后回传给 C&C 服务器,如果 C&C 服务器响应除 400 或 200 以外的任何 HTTP 响应,都会显示韩语错误消息(大意为:哇,我们在做什么?)。收到有效响应后,GorjolEcho 就可以启动或者停止来自攻击者的命令。研究人员在分析时并未发现,但有可能受害者已经下载了被 Volexity 称为 POWERSTART 的恶意代码。

image.png-440.5kBimage.png-440.5kB

GorjolEcho 后门

苹果设备也不放过

TA453 发送了 GorjolEcho 后门后,忽然就意识到恶意代码无法在苹果设备上运行。一周后 TA453 再次发送钓鱼邮件,这次提供了在 Mac 操作系统上可以运行的感染链。

image.png-486.6kBimage.png-486.6kB

针对 Mac 操作系统的钓鱼邮件

邮件携带一个加密的 ZIP 文件,其中包含一个定制的 Mac 应用程序,该程序伪装成 RUSI 的 VPN 或者共享驱动器的样子。执行后,脚本会通过指定的 URL 下载后续 Payload。二阶段是名为 NokNok 的 bash 脚本,主要是后门程序。通过操作系统名称、主机名称与随机数来创建唯一标识,经过编码与加密后发送到 C&C 服务器。脚本期望的响应为 KillKill 或者 ModuleName,前者会终止运行,后者会执行响应的命令。

image.png-80.3kBimage.png-80.3kB

NokNok

分析人员确定了四个相似的模块:

  • processes
  • informations
  • applications
  • persistence

image.png-140.4kBimage.png-140.4kB

多个模块

这些模块都是 base 脚本,旨在收集信息后回传至 C&C 服务器。processes 模块会使用 ps -aux 命令获取当前正在运行的进程列表:

image.png-132.2kBimage.png-132.2kB

processes 模块

information 模块使用 system_profiler 获取软件相关信息,特别是 SPSoftwareDataType(包含操作系统版本、运行时间、已安装软件等)。还会使用 ifconfig 收集网络相关信息,通过 base64 编码保存到 result.txt 进行回传。

image.png-147.2kBimage.png-147.2kB

information 模块

applications 模块也是类似的,使用 echo 列出已安装应用程序。persistence 模块首先释放 LaunchAgents 然后将硬编码密钥写入 Id.txt,继而通过 Finder 建立持久化。

image.png-148kBimage.png-148kB

persistence 模块

TA453 很可能为 GorjolEcho 与 NokNok 分别量身定做了攻击模块,但功能是大体类似的。从代码来看,与 Goolge 此前披露的 Charming Kitten 十分相似。而且,NokNok 的部分功能也与 2017 年披露的 Charming Kitten Mac 恶意软件相似。

虚假文件共享网站

电子邮件中的恶意附件介绍了虚假文件共享服务的链接与凭据,该服务伪装成 RUSI Wing FTP 服务器。

image.png-78.3kBimage.png-78.3kB

虚假网站

该网站拒绝给出的用户名与密码,可能只是为了确定恶意软件投递成功。该网站可能对访问者进行了跟踪与指纹识别,分析人员并未发现异常。通过邮件确认,TA453 表示用户名密码是正确的,只要运行应用程序即可访问文件。

image.png-54.6kBimage.png-54.6kB

错误消息

归因

发现的感染链与过去的 TA453 不同,但分析人员仍然高度可信地确认该攻击行动为 TA453 所为。Proofpoint 认为 TA453 主要是为了支持伊斯兰革命卫队(IRGC)的工作,特别是 IRGC 情报组织。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-07-07 15:47:03

2021-03-03 09:23:23

恶意软件网络安全网络攻击

2012-07-02 08:55:02

2013-05-17 13:29:51

2021-04-10 09:56:57

Charming Ki网络钓鱼

2021-03-15 09:27:36

恶意软件TrickBot僵尸网络

2014-10-08 09:54:04

恶意软件iWormMac

2013-04-23 15:38:27

2012-07-30 09:40:05

2020-09-28 13:57:35

恶意软件黑客网络攻击

2023-04-05 00:11:12

2023-01-16 13:35:22

2023-08-02 19:45:31

2015-01-16 17:20:07

2011-03-02 09:44:45

2015-10-29 18:15:07

恶意软件OS X恶意软件Mac

2014-10-08 09:33:09

2021-06-24 05:37:03

恶意软件黑客网络攻击

2015-05-12 10:53:33

2013-10-11 10:22:19

点赞
收藏

51CTO技术栈公众号