Il gruppo di hacker iraniano noto come TA453 è stato collegato a una serie di attacchi spear-phishing che mirano sia a sistemi Windows che macOS, utilizzando un malware sofisticato. Secondo un rapporto di Proofpoint, TA453 ha utilizzato diversi provider di hosting cloud per distribuire una nuova catena di infezione che impiega un backdoor PowerShell recentemente identificato chiamato GorjolEcho.
Dettagli sugli attacchi di TA453
TA453, noto anche come APT35, Charming Kitten, Mint Sandstorm e Yellow Garuda, è un gruppo di minacce associato al Corpo delle Guardie della Rivoluzione Islamica dell’Iran (IRGC) attivo dal 2011. Nell’attacco identificato a maggio 2023, il gruppo ha inviato email di phishing a un esperto di sicurezza nucleare presso un think tank statunitense, recapitando un link malevolo che reindirizzava il bersaglio a un URL Dropbox che ospitava un archivio RAR.
Funzionalità del malware GorjolEcho
All’interno del file RAR vi è un dropper LNK che avvia una procedura multistadio per distribuire GorjolEcho, che a sua volta mostra un documento PDF fittizio, mentre in segreto attende payload dalla fase successiva da un server remoto. Tuttavia, quando TA453 si è reso conto che il bersaglio utilizzava un computer Apple, ha modificato il suo modus operandi inviando una seconda email con un archivio ZIP che conteneva un binario Mach-O che si spacciava per un’applicazione VPN, ma in realtà era uno script AppleScript che si connetteva a un server remoto per scaricare un backdoor basato su script Bash chiamato NokNok.
Implicazioni e rischi per la sicurezza
TA453 continua ad adattare il suo arsenale di malware, distribuendo nuovi tipi di file e prendendo di mira nuovi sistemi operativi. Questo gruppo lavora incessantemente per raggiungere i suoi obiettivi di ricognizione non autorizzata, complicando nel contempo gli sforzi di rilevamento. È essenziale che le organizzazioni rimangano vigili e adottino misure di sicurezza adeguate per proteggere i loro sistemi e dati.