Ciberespioes iranianos visam um think tank baseado nos EUA com

CiberespiƵes iranianos visam um think tank baseado nos EUA com novo malware para macOS

PorAntĆ³nio CĆ©sar de Andrade

Em um ataque recente contra um think tank com sede nos EUA, o grupo iraniano de ciberespionagem Charming Kitten foi observado portando um backdoor do PowerShell para o macOS, informa o Proofpoint.

O ataque comeƧou em meados de maio com uma isca enviada ao contato da mĆ­dia pĆŗblica para um especialista em seguranƧa nuclear do think tank, solicitando feedback sobre um projeto e permissƵes para enviar um rascunho para revisĆ£o.

No e-mail de acompanhamento, os ciberespiƵes enviaram um link malicioso direcionando o destinatĆ”rio para um arquivo criptografado por senha hospedado no Dropbox, que continha um arquivo de link (LNK) destinado a iniciar uma cadeia de infecĆ§Ć£o levando Ć  implantaĆ§Ć£o de um novo backdoor do PowerShell .

Apelidado de GorjolEcho pela Proofpoint, o backdoor estabeleceria persistĆŖncia e exibiria um PDF chamariz para o destinatĆ”rio, enquanto em segundo plano comeƧava a exfiltrar informaƧƵes para o servidor de comando e controle (C&C).

Uma semana depois, Charming Kitten enviou uma mensagem de e-mail contendo um arquivo ZIP protegido por senha que acionaria uma cadeia de infecĆ§Ć£o sob medida para o macOS, levando Ć  implantaĆ§Ć£o de um script bash que estabelece um backdoor persistente no sistema.

Apelidado de NokNok, o script ā€œĆ© quase certamente uma porta ou evoluĆ§Ć£o do jĆ” mencionado GorjolEcho e destina-se a servir como ponto de apoio inicialā€ dentro do sistema da vĆ­tima, diz a Proofpoint.

O NokNok, que contĆ©m quatro mĆ³dulos, pode coletar credenciais da mĆ”quina infectada, uma lista de todos os processos em execuĆ§Ć£o, logs, informaƧƵes do sistema, informaƧƵes de rede e informaƧƵes de software e, em seguida, enviar os dados, criptografados, para o servidor C&C.

De acordo com a Proofpoint, tanto o GorjolEcho quanto o NokNok provavelmente suportam mĆ³dulos adicionais que expandem sua funcionalidade.

O novo ataque, observa a empresa de seguranƧa cibernĆ©tica, difere das campanhas Charming Kitten observadas anteriormente, que normalmente dependiam de macros VBA e injeĆ§Ć£o remota de modelo para entrega de malware.

No entanto, a Proofpoint atribui o ataque ao grupo iraniano com alta confianƧa, com base em semelhanƧas de cĆ³digo entre GorjolEcho e NokNok e malware anteriormente atribuĆ­do ao grupo, incluindo GhostEcho, CharmPower e MacDownloader.

TambĆ©m rastreado como APT42, Mint Sandstorm (anteriormente Phosphorus), NewsBeef, Newscaster, TA453 e Yellow Garuda, acredita-se que Charming Kitten esteja operando em nome da Guarda RevolucionĆ”ria IslĆ¢mica do IrĆ£ (IRGC).

Anteriormente, o grupo era visto como alvo de ativistas, organizaƧƵes governamentais, jornalistas e outras entidades, alĆ©m de se envolver em ataques de ransomware com motivaĆ§Ć£o financeira.

ā€œO TA453 continua a adaptar significativamente suas cadeias de infecĆ§Ć£o para complicar os esforƧos de detecĆ§Ć£o e conduzir operaƧƵes de espionagem cibernĆ©tica contra seus alvos de interesse. A disposiĆ§Ć£o do TA453 de portar malware para Mach-O demonstra quanto esforƧo o agente da ameaƧa estĆ” disposto a colocar na busca de seus alvosā€, observa a Proofpoint.

Apaixonado por tecnologia e inovaĆ§Ć£o, traz notĆ­cias do seguimento que atua com paixĆ£o hĆ” mais de 15 anos.