"Charming Kitten" hackere bruger ny 'NokNok' malware til macOS

Der er observeret en ny kampagne som lanceres af "Charming Kitten" APT-gruppen, hvor hackere bruger ny "NokNok" malware som er rettet mod macOS-systemer. "Charming Kitten" er også kendt som APT42 eller Phosphorus og har gennem tiden lanceret mindst 30 kampagner i 14 lande siden 2015. Den nuværende kampagne startede i maj 2023 og er afhængig af en anden infektionskæde end tidligere observeret. LNK-filer bliver implementeret i "payload" i stedet for de typiske Word-dokumenter, som det er set i tidligere angreb fra gruppen.

I relation til phishing og social engineering metoder der anvendes i denne kampagne, udgiver hackerne sig for at være atomeksperter fra USA og henvender sig til ofre med et tilbud om, at gennemgå et udkast om udenrigspolitiske emner. I mange tilfælde indsætter angriberne andre personer i koorespondancen for at give karakter af legitimitet og etablere en forbindelse med ofret.

Efter at have opnået ofret tillid, sender "Charming Kitten" et ondsindet link, som indeholder en Google Script-makro, og omdirigerer offeret til en Dropbox-URL. Dropbox-URL'en indeholder et adgangskodebeskyttet RAR-arkiv med en "malware-dropper", der anvender PowerShell-kode og en LNK-fil til, at introducere en malware fra en cloud-hostingudbyder. Malwaren er GorjolEcho, en simpel bagdør, der kan acceptere og udfører kommandoer fra "remote".

Hvis offeret anvender macOS, hvilket hackerne typisk opdager efter at det ikke er lykkedes at inficere ofret med en Windows "payload", bliver der sendt et nyt link til "library-store.camdvr.org", som bl.a. indeholder en ZIP-fil der udgiver sig for at være en RUSI (Royal United Services Institute) VPN-app. Når installationen af Apple-scriptfile udføres, henter en curl-kommando desuden NokNok "payloaden" og der etableres en bagdør gennem RUSI til ofrets system.

NokNok genererer en system-id og bruger derefter fire bash script moduler til, at etablere kommunikation med kommando- og kontrolserveren (C2) og begynder derefter at eksfiltrere data til den.

Samlet set viser denne kampagne, at "Charming Kitten" har en høj grad af tilpasningsevne som er i stand til at gå målrettet efter macOS-systemer og fremhæver den voksende trussel fra sofistikerede malware-kampagner rettet imod macOS-brugere. 

 

Kide: Charming Kitten hackers use new ‘NokNok’ malware for macOS (ampproject.org)