Em um ataque recente contra um think tank com sede nos EUA, o grupo iraniano de ciberespionagem Charming Kitten foi observado portando um backdoor do PowerShell para o macOS, informa o Proofpoint.
O ataque começou em meados de maio com uma isca enviada ao contato da mídia pública para um especialista em segurança nuclear do think tank, solicitando feedback sobre um projeto e permissões para enviar um rascunho para revisão.
No e-mail de acompanhamento, os ciberespiões enviaram um link malicioso direcionando o destinatário para um arquivo criptografado por senha hospedado no Dropbox, que continha um arquivo de link (LNK) destinado a iniciar uma cadeia de infecção levando à implantação de um novo backdoor do PowerShell .
Apelidado de GorjolEcho pela Proofpoint, o backdoor estabeleceria persistência e exibiria um PDF chamariz para o destinatário, enquanto em segundo plano começava a exfiltrar informações para o servidor de comando e controle (C&C).
Uma semana depois, Charming Kitten enviou uma mensagem de e-mail contendo um arquivo ZIP protegido por senha que acionaria uma cadeia de infecção sob medida para o macOS, levando à implantação de um script bash que estabelece um backdoor persistente no sistema.
Apelidado de NokNok, o script “é quase certamente uma porta ou evolução do já mencionado GorjolEcho e destina-se a servir como ponto de apoio inicial” dentro do sistema da vítima, diz a Proofpoint.
O NokNok, que contém quatro módulos, pode coletar credenciais da máquina infectada, uma lista de todos os processos em execução, logs, informações do sistema, informações de rede e informações de software e, em seguida, enviar os dados, criptografados, para o servidor C&C.
De acordo com a Proofpoint, tanto o GorjolEcho quanto o NokNok provavelmente suportam módulos adicionais que expandem sua funcionalidade.
O novo ataque, observa a empresa de segurança cibernética, difere das campanhas Charming Kitten observadas anteriormente, que normalmente dependiam de macros VBA e injeção remota de modelo para entrega de malware.
No entanto, a Proofpoint atribui o ataque ao grupo iraniano com alta confiança, com base em semelhanças de código entre GorjolEcho e NokNok e malware anteriormente atribuído ao grupo, incluindo GhostEcho, CharmPower e MacDownloader.
Também rastreado como APT42, Mint Sandstorm (anteriormente Phosphorus), NewsBeef, Newscaster, TA453 e Yellow Garuda, acredita-se que Charming Kitten esteja operando em nome da Guarda Revolucionária Islâmica do Irã (IRGC).
Anteriormente, o grupo era visto como alvo de ativistas, organizações governamentais, jornalistas e outras entidades, além de se envolver em ataques de ransomware com motivação financeira.
“O TA453 continua a adaptar significativamente suas cadeias de infecção para complicar os esforços de detecção e conduzir operações de espionagem cibernética contra seus alvos de interesse. A disposição do TA453 de portar malware para Mach-O demonstra quanto esforço o agente da ameaça está disposto a colocar na busca de seus alvos”, observa a Proofpoint.