Cyberwar-Gruppe aus dem Iran greift Mac-Rechner an
Die iranische Hackergruppe TA 453 konzentriert sich darauf, Experten für Nahostfragen und nukleare Sicherheit anzusprechen, indem sie scheinbar harmlose Kommunikation verwendet. Während der laufenden Verhandlungen über den Joint Comprehensive Plan of Action (JCPOA) und der zunehmenden Isolation Teherans in seinem Einflussbereich zielt TA 453 darauf ab, Experten zu erreichen, welche die Außenpolitik beeinflussen könnten. Anders als bei früheren Kampagnen sind nun auch Apple-Nutzer nicht mehr sicher.
Die iranische Hackergruppe TA 453, auch als Charming Kitten bekannt, nutzt eine Social-Engineering-Impersonationstechnik namens Multi-Persona-Impersonation. Dabei setzen die Hacker mindestens zwei von ihnen kontrollierte Identitäten in einer einzigen E-Mail-Konversation ein. In einer kürzlichen Kampagne knüpften die Hacker über eine unverdächtige E-Mail den Kontakt zur Zielperson und nutzten dann gefälschte Identitäten, um eine Vertrauensbasis aufzubauen. Nach derzeitigem Kenntnisstand geht Proofpoint davon aus, dass TA 453 alle verwendeten Identitäten „gespooft“ hat, also die Accounts bekannter Experten imitiert hat und die tatsächlichen Accounts dieser Experten nicht kompromittiert wurden.
Dabei hat die Gruppe ihre Angriffsmethoden weiterentwickelt, um gezielte Cyberspionageoperationen durchzuführen. Um Erkennungsmaßnahmen zu umgehen, setzt sie auf einen Multi-Cloud-Ansatz und nutzt verschiedene Cloud-Dienste wie Google Scripts, Dropbox und CleverApps.
In einer ihrer jüngsten Kampagnen hat TA 453 ihre Vorgehensweise erweitert, um auch Apple-Nutzer ins Visier zu nehmen. Sie haben Malware entwickelt, die speziell für das Mac-Betriebssystem angepasst ist. Diese Anpassung zeigt das Engagement der Gruppe, um ihre Ziele zu verfolgen und unabhängig von der verwendeten Plattform erfolgreich zu sein.
Konversation beginnt scheinbar harmlos
Ein typisches Vorgehen von TA 453 besteht darin, zunächst eine scheinbar harmlose E-Mail an die Zielperson zu senden. Nach einer Interaktion mit dieser E-Mail wird der Zielperson ein bösartiger Link zu einem Google-Skript-Makro zugesandt. Dieses Makro leitet die Zielperson zu einer Dropbox-URL weiter, die eine passwortgeschützte .rar-Datei mit dem Namen „Abraham Accords & MENA.rar“ enthält. Diese .rar-Datei enthält wiederum einen Dropper mit dem Namen „Abraham Accords & MENA.pdf.lnk“. Die Verwendung einer .rar-Datei und eines .lnk-Droppers unterscheidet sich von den üblichen Vorgehensweisen von TA 453, bei denen normalerweise VBA-Makros oder die Remote-Injektion von Templates eingesetzt werden.
Nachdem die Dropbox-Konten im Zusammenhang mit dieser TA 453-Kampagne entdeckt wurden, wurden sie schnell gelöscht. Dies zeigt, dass Cloud-Dienste wie Dropbox ein attraktives Ziel für die Gruppe sind, um ihre schädlichen Aktivitäten zu betreiben, aber auch, dass solche Dienste Maßnahmen ergreifen, um ihre Plattformen zu schützen.
Ein interessanter Aspekt dieser Kampagne ist auch die Reaktion von TA 453 auf das Betriebssystem der Zielperson. Als sie versuchten, die GorjolEcho-Malware einzusetzen, stellten sie fest, dass sie auf dem Apple-Computer der Zielperson nicht ausgeführt werden konnte. Daraufhin meldete sich die Gruppe etwa eine Woche später erneut per E-Mail und bot eine auf Mac-Betriebssysteme portierte Infektionskette an. Diese enthielt eine passwortgeschützte ZIP-Datei mit dem ersten Glied der Mac-Infektionskette sowie detaillierte Anweisungen.
In der ZIP-Archivdatei befand sich eine maßgeschneiderte Mac-Anwendung, die sich als RUSI-VPN-Lösung und GUI für ein geteiltes Laufwerk tarnte. Beim Starten der Anwendung wurde ein Apple-Skript ausgeführt, das über curl eine Datei von library-store.camdvr.org herunterlud. Dieses Skript richtete eine Hintertür im System ein und sorgte für eine Persistenz, indem es regelmäßig Nachrichten an einen Remote-Server sandte. Die Kommunikation erfolgte über HTTP POSTs an library-store.camdvr.org, wobei verschlüsselte Payloads übertragen wurden. Diese Mac-Infektionskette zeigt, dass TA 453 bereit ist, erhebliche Anstrengungen zu unternehmen und ihre Malware auf spezifische Plattformen anzupassen, um ihre Ziele zu erreichen.
Proofpoint geht davon aus, dass die NokNok-Malware, die in der Mac-Infektionskette verwendet wird, mit hoher Wahrscheinlichkeit eine Portierung oder Weiterentwicklung der GorjolEcho-Malware ist und dazu dient, TA 453 einen Fuß in der Tür zu verschaffen.
Angesichts der fortwährenden Anpassung ihrer Infektionsketten zur Umgehung von Erkennungsmaßnahmen empfiehlt Proofpoint die Suche nach anwendbaren Emerging Threats INFO-Netzwerksignaturen im Netzwerkverkehr, um diese Angriffe zu identifizieren und abzuwehren. Es ist wichtig, dass Organisationen ihre Sicherheitsmaßnahmen laufend aktualisieren und ihre Mitarbeiter über solche Bedrohungen und die damit verbundenen Gegenmaßnahmen informieren.