Istraživači bezbjednosti iz kompanije Proofpoint primijetili su nove napade zloglasne APT grupe Charming Kitten (poznate i po nazivima APT42 ili Phosphorus) koja sada koristi novi malware nazvan NokNok za napade na MacOS sisteme.
Napadi su počeli u maju, a napadači ovog puta koriste drugačiji lanac infekcije nego u ranijim napadima - umjesto Word dokumenata i makroa koje je grupa ranije koristila sada se koriste LNK fajlovi koji učitavaju malware.
Od 2015. kada je prvi put primijećena, grupa Charming Kitten je izvela najmanje 30 operacija u 14 zemalja. Grupa se povezuje sa Iranom, tačnije sa Korpusom islamske revolucionarne garde, a u septembru 2022. godine SAD su identifikovale i optužile članove ove grupe.
Napadači se predstavljaju kao nuklearni eksperti iz SAD, a u mnogim slučajevima u razgovor ubacuju druge osobe kako bi djelovali uvjerljivije i ulili povjerenje žrtvama.
Kada stekne povjerenje žrtve, grupa šalje link koji sadrži Google Script makro, preusmjeravajući žrtvu na Dropbox URL na kome se nalazi RAR fajl sa dropperom za malware koji sadrži PowerShell kod i LNK fajl. Malware koji preuzima žrtva koja koristi Windows je GorjolEcho, jednostavni backdoor koji izvršava komande napadača. Da ne bi izazvao sumnju kod žrtve, GorjolEcho otvara PDF fajl sa temom koja je povezana sa razgovorom koji su napadači prethodno vodili sa žrtvom.
Međutim, ako žrtva koristi macOS, što će napadači shvatiti ako ne uspiju da inficiraju sistem backdoorom, oni šalju novi link za „library-store[.]camdvr[.]org“ koji hostuje ZIP fajl maskiran u RUSI (Royal United Services Institute) VPN aplikaciju.
Prilikom pokretanja fajla u arhivi, učitava se NokNok malware koji je kao i GorjolEcho backdoor na sistemu žrtve.
NokNok prikuplja informacije o sistemu, uključujući verziju operativnog sistema, pokrenute procese i instalirane aplikacije. Sve prikupljene informacije se šifriraju i šalju na server napadača.
Osim prikupljanja podataka, NokNok bi mogao imati i specifičnije funkcionalnosti vezane za špijunažu. Istraživači sumnjaju na tu mogućnost zbog sličnosti koda NokNoka sa backdoorom GhostEcho kog su ranije analizirali i koji sadrži module koji mu omogućavaju pravljenje screenshotova, izvršavanje komandi i uklanjanje tragova infekcije. Oni smatraju da NokNok vjerovatno ima i ove funkcije.
