Chiến dịch này bắt đầu vào tháng 5 và sử dụng phương thức lây nhiễm khác so với trước đây, bằng việc triển khai payload thông qua các file LNK thay vì tài liệu Word như các chiến dịch trước đó.
Nhóm APT Charming Kitten đã tiến hành ít nhất 30 cuộc tấn công tại 14 quốc gia kể từ năm 2015. Các nghiên cứu đã chỉ ra rằng nhóm này có liên quan tới chính phủ Iran, đặc biệt là Quân đội Cách mạng Hồi giáo Iran (IRGC).
Trước đây, nhóm tấn công này đã sử dụng macro trong các tài liệu Word để lây nhiễm, nhưng hiện đã chuyển sang sử dụng các file LNK. Nhóm này mạo danh là chuyên gia hạt nhân Mỹ và tiếp cận mục tiêu bằng cách mời xem bản nháp chính sách đối ngoại.
Tấn công hệ điều hành Windows
Trong cuộc tấn công vào hệ điều hành Windows, sau khi xâm nhập thành công, Charming Kitten gửi cho đối tượng mục tiêu một liên kết độc hại chứa một macro Google Script, đồng thời chuyển hướng đến một địa chỉ Dropbox. Tại đó, một tệp RAR được bảo vệ bằng mật khẩu chứa một dropper mã độc sử dụng mã PowerShell và tệp LNK để triển khai mã độc từ một bên cung cấp dịch vụ lưu trữ đám mây.
Payload cuối cùng là GorjolEcho, một backdoor cơ bản cho phép đối tượng tấn công nhận và thực thi lệnh từ xa. Để tránh bị nghi ngờ, GorjolEcho mở một tệp PDF có nội dung liên quan đến cuộc trò chuyện trước đó giữa nạn nhân và đối tượng tấn công.
Tấn công hệ điều hành macOS
Trong trường hợp nạn nhân sử dụng macOS, nhóm tấn công sẽ nhận ra sau khi lây nhiễm bằng payload Windows không thành công. Nhóm này sẽ gửi một đường dẫn mới tới “library-store[.]camdvr[.]org” để lưu trữ một file ZIP giả dạng ứng dụng RUSI VPN. Khi file cript Apple trong ZIP được thực thi, lệnh curl sẽ được kích hoạt để tải xuống payload NokNok và triển khai một backdoor trên thiết bị của nạn nhân.
NokNok tạo ra một hệ định danh hệ thống và sử dụng 4 module bash script để duy trì kết nối, thiết lập liên lạc với máy chủ C&C, đồng thời bắt đầu thu thập dữ liệu từ thiết bị bị nhiễm và gửi về máy chủ này.
Mã độc NokNok thu thập các thông tin hệ thống như: phiên bản hệ điều hành, các trình đang chạy và ứng dụng đã cài đặt. Sau đó, NokNok mã hóa toàn bộ dữ liệu thu thập được dưới dạng base64 rồi gửi về cho đối tượng tấn công.
Các chuyên gia bảo mật cho rằng NokNok có thể chứa nhiều chức năng gián điệp khác trên các module chưa được phát hiện. Sự nghi ngờ này xuất phát từ điểm tương đồng trong mã nguồn của NokNok và GhostEcho, một mã độc đã được phân tích trước đó, có khả năng chụp ảnh, thực thi lệnh và xóa dấu vết lây nhiễm mã độc.
Tóm lại, chiến dịch tấn công này cho thấy nhóm APT Charming Kitten có khả năng thích ứng cao và có khả năng tấn công vào hệ điều hành macOS khi cần thiết. Điều này nhấn mạnh mối đe dọa ngày càng gia tăng của các chiến dịch mã độc phức tạp đối với người dùng macOS.