Af Henrik Jensen, 10/07/23
I relation til phishing og social engineering metoder der anvendes i denne kampagne, udgiver hackerne sig for at være atomeksperter fra USA og henvender sig til ofre med et tilbud om, at gennemgå et udkast om udenrigspolitiske emner. I mange tilfælde indsætter angriberne andre personer i koorespondancen for at give karakter af legitimitet og etablere en forbindelse med ofret.
Efter at have opnået ofret tillid, sender "Charming Kitten" et ondsindet link, som indeholder en Google Script-makro, og omdirigerer offeret til en Dropbox-URL. Dropbox-URL'en indeholder et adgangskodebeskyttet RAR-arkiv med en "malware-dropper", der anvender PowerShell-kode og en LNK-fil til, at introducere en malware fra en cloud-hostingudbyder. Malwaren er GorjolEcho, en simpel bagdør, der kan acceptere og udfører kommandoer fra "remote".
Hvis offeret anvender macOS, hvilket hackerne typisk opdager efter at det ikke er lykkedes at inficere ofret med en Windows "payload", bliver der sendt et nyt link til "library-store.camdvr.org", som bl.a. indeholder en ZIP-fil der udgiver sig for at være en RUSI (Royal United Services Institute) VPN-app. Når installationen af Apple-scriptfile udføres, henter en curl-kommando desuden NokNok "payloaden" og der etableres en bagdør gennem RUSI til ofrets system.
NokNok genererer en system-id og bruger derefter fire bash script moduler til, at etablere kommunikation med kommando- og kontrolserveren (C2) og begynder derefter at eksfiltrere data til den.
Samlet set viser denne kampagne, at "Charming Kitten" har en høj grad af tilpasningsevne som er i stand til at gå målrettet efter macOS-systemer og fremhæver den voksende trussel fra sofistikerede malware-kampagner rettet imod macOS-brugere.
Kide: Charming Kitten hackers use new ‘NokNok’ malware for macOS (ampproject.org)