TA453 对 LNK 与 MAC 恶意软件的新尝试

2023 年 5 月中旬，意软TA453（又名 Charming Kitten 、新尝APT42
、意软Mint Sandstorm 、新尝Yellow Garuda）伪装成皇家联合军种研究所（RUSI）的意软高级研究员，向媒体人发送钓鱼邮件进行攻击。新尝美国一家专注于外交事务智库的意软专家收到了有关“全球安全背景下的伊朗”的项目反馈，并提供草稿进行审查。新尝攻击者不仅表示会提供酬金，意软还提供了其他核安全专家的新尝背书。TA453 最终使用云服务投递攻击链 ，意软让受害者会下载新开发的香港云服务器新尝 PowerShell 后门 GorjoEcho。

角色扮演

随着 JCPOA 谈判的意软进行 ，伊朗方面发现自己日益孤立 
。新尝TA453 继续扮演与中东事务和核安全有关的意软专家 ，针对与这些外交政策有关的专家发起攻击 。

image.png-171.8kB

前期钓鱼邮件

image.png-420.9kB

后续钓鱼邮件

Proofpoint 的研究人员判断这些账户都是攻击者创建的模拟账户
，而不是账户本身被窃
。

复杂感染

在进行了电子邮件交互后 ，TA453 就会通过 Google Macro 发送一个恶意链接 。高防服务器该链接将攻击目标重定向到 Dropbox 的 URL ，该 URL 可下载加密的 RAR 文件（Abraham Accords & MENA.rar） 。压缩文件中包含一个名为 Abraham Accords & MENA.pdf.lnk的 Dropper 
，后续会使用 PowerShell 代码从云服务商从下载后续 Payload 。

image.png-119.5kB

完整感染链

后续感染阶段

恶意软件使用的 Gorjol 函数通过 .txt 文件下载 base64 编码的数据，解码后如下所示：

image.png-237.1kB

Borjol 函数

Borjol 通过合法的 Clever Cloud 服务使用 AES 加密的 HTTPS 链接与 fuschia-rhinestone.cleverapps[.]io 进行通信。返回的数据解密为另一个 Borjol 函数，该函数使用之前的亿华云变量并解密 PowerShell 后门 GorjolEcho。

GorjolEcho 首先显示一个诱饵 PDF 文档
 ，该文档与钓鱼文档一致。后门将信息编码后回传给 C&C 服务器 ，如果 C&C 服务器响应除 400 或 200 以外的任何 HTTP 响应，都会显示韩语错误消息（大意为：哇，我们在做什么？）。收到有效响应后 ，GorjolEcho 就可以启动或者停止来自攻击者的命令。研究人员在分析时并未发现 ，但有可能受害者已经下载了被 Volexity 称为 POWERSTART 的恶意代码 。

image.png-440.5kB

GorjolEcho 后门

苹果设备也不放过

TA453 发送了 GorjolEcho 后门后，忽然就意识到恶意代码无法在苹果设备上运行 。模板下载一周后 TA453 再次发送钓鱼邮件，这次提供了在 Mac 操作系统上可以运行的感染链。

image.png-486.6kB

针对 Mac 操作系统的钓鱼邮件

邮件携带一个加密的 ZIP 文件 ，其中包含一个定制的 Mac 应用程序，该程序伪装成 RUSI 的 VPN 或者共享驱动器的样子 。执行后，脚本会通过指定的 URL 下载后续 Payload。二阶段是名为 NokNok 的云计算 bash 脚本，主要是后门程序 。通过操作系统名称、主机名称与随机数来创建唯一标识，经过编码与加密后发送到 C&C 服务器。脚本期望的响应为 KillKill 或者 ModuleName，前者会终止运行 ，后者会执行响应的命令 。

image.png-80.3kB

NokNok

分析人员确定了四个相似的模块 ：

processesinformationsapplicationspersistence

image.png-140.4kB

多个模块

这些模块都是 base 脚本，旨在收集信息后回传至 C&C 服务器。processes 模块会使用 ps -aux 命令获取当前正在运行的源码库进程列表：

image.png-132.2kB

processes 模块

information 模块使用 system_profiler 获取软件相关信息 ，特别是 SPSoftwareDataType（包含操作系统版本 、运行时间、已安装软件等）。还会使用 ifconfig 收集网络相关信息
，通过 base64 编码保存到 result.txt 进行回传。

image.png-147.2kB

information 模块

applications 模块也是类似的，使用 echo 列出已安装应用程序。persistence 模块首先释放 LaunchAgents 然后将硬编码密钥写入 Id.txt ，继而通过 Finder 建立持久化。

image.png-148kB

persistence 模块

TA453 很可能为 GorjolEcho 与 NokNok 分别量身定做了攻击模块 ，但功能是大体类似的 。从代码来看
，与 Goolge 此前披露的 Charming Kitten 十分相似 。而且，NokNok 的部分功能也与 2017 年披露的 Charming Kitten Mac 恶意软件相似。

虚假文件共享网站

电子邮件中的恶意附件介绍了虚假文件共享服务的链接与凭据，该服务伪装成 RUSI Wing FTP 服务器 。

image.png-78.3kB

虚假网站

该网站拒绝给出的用户名与密码 ，可能只是为了确定恶意软件投递成功 。该网站可能对访问者进行了跟踪与指纹识别，分析人员并未发现异常 。通过邮件确认，TA453 表示用户名密码是正确的，只要运行应用程序即可访问文件。

image.png-54.6kB

错误消息

归因

发现的感染链与过去的 TA453 不同，但分析人员仍然高度可信地确认该攻击行动为 TA453 所为。Proofpoint 认为 TA453 主要是为了支持伊斯兰革命卫队（IRGC）的工作，特别是 IRGC 情报组织 。