Charming Kitten hackers use new ‘NokNok’ malware for macOS
นักวิจัยด้านความปลอดภัยสังเกตเห็นแคมเปญใหม่ที่พวกเขาระบุถึงกลุ่ม Charming Kitten APT ซึ่งแฮ็กเกอร์ใช้มัลแวร์ NokNok ตัวใหม่ที่กำหนดเป้าหมายระบบ macOS แคมเปญเริ่มต้นในเดือนพฤษภาคมและอาศัยห่วงโซ่การติดไวรัสที่แตกต่างจากที่สังเกตก่อนหน้านี้ โดยไฟล์ LNK ปรับใช้ payloads แทนเอกสาร Word ที่เป็นอันตรายทั่วไปที่พบในการโจมตีที่ผ่านมาจากกลุ่ม
Googleได้เชื่อมโยงผู้คุกคามกับรัฐอิหร่าน โดยเฉพาะอย่างยิ่งคือกองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ในเดือนกันยายน พ.ศ. 2565 รัฐบาลสหรัฐฯ สามารถระบุตัวและตั้งข้อหาสมาชิกของกลุ่มภัยคุกคามได้ Proofpoint รายงาน ว่าผู้ก่อภัยคุกคามได้ละทิ้งวิธีการติดไวรัสแบบมาโครที่เกี่ยวข้องกับเอกสาร Word ที่ผูกแล้ว และใช้ไฟล์ LNK แทนเพื่อโหลดเพย์โหลด เกี่ยวกับเหยื่อฟิชชิงและวิธีการวิศวกรรมสังคมที่เห็นในแคมเปญ แฮ็กเกอร์สวมรอยเป็นผู้เชี่ยวชาญด้านนิวเคลียร์จากสหรัฐฯ และเข้าหาเป้าหมายด้วยข้อเสนอให้ทบทวนร่างในหัวข้อนโยบายต่างประเทศ
มัลแวร์ NokNok รวบรวมข้อมูลระบบซึ่งรวมถึงเวอร์ชันของระบบปฏิบัติการ กระบวนการทำงาน และแอปพลิเคชันที่ติดตั้ง NokNok เข้ารหัสข้อมูลที่รวบรวมทั้งหมด เข้ารหัสในรูปแบบ base64 และกรองข้อมูลออก Proofpoint ยังระบุด้วยว่า NokNok อาจมีฟังก์ชันที่เกี่ยวข้องกับการจารกรรมที่เฉพาะเจาะจงมากขึ้นผ่านโมดูลที่มองไม่เห็นอื่นๆ ความสงสัยนั้นขึ้นอยู่กับความคล้ายคลึงกันของรหัสกับ GhostEcho ซึ่งวิเคราะห์ก่อนหน้านี้โดย Check Point โมดูลเด่นของประตูหลังนั้นที่อนุญาตให้ถ่ายภาพหน้าจอ ดำเนินการคำสั่ง และทำความสะอาดเส้นทางการติดไวรัส เป็นไปได้ว่า NokNok มีฟังก์ชั่นเหล่านี้ด้วย โดยรวมแล้ว แคมเปญนี้แสดงให้เห็นว่า Charming Kitten มีความสามารถในการปรับตัวสูง มีความสามารถในการกำหนดเป้าหมายระบบ macOS เมื่อจำเป็น และเน้นย้ำถึงภัยคุกคามที่เพิ่มขึ้นของแคมเปญมัลแวร์ที่ซับซ้อนต่อผู้ใช้ macOS
https://www.bleepingcomputer.com/news/security/charming-kitten-hackers-use-new-noknok-malware-for-macos/