Contact
QR code for the current URL

Story Box-ID: 1165061

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

NokNok: Neue Malware hat es auf MacOS abgesehen

Die Hackergruppe Charming Kitten hat mit NokNok eine neue Malware in Umlauf gebracht, die es auf MacOS abgesehen hat. Statt auf Word-Dateien setzen die Hacker nun auf LNK-Verknüpfungsdateien.

(PresseBox) (Neustadt an der Weinstraße, )
Eine neue Kampagne der APT-Gruppe Charming Kitten, die auch unter den Namen APT42 und Phosphorus bekannt ist, attackiert derzeit Apple-Nutzer. Dabei setzen die Hacker diesmal auf eine andere Infektionskette als bei ihren bisherigen Angriffen, die sich vorwiegend auf Windows-User fokussierten. Anstatt die Malware über infizierte Word-Dokumente zu verbreiten, kommen LNK-Verknüpfungsdateien zum Einsatz.

Charming Kitten ist für Sicherheitsforscher keine Unbekannte. Bereits seit 2015 ist die Gruppe aktiv und steckt laut Untersuchungen von Mandiant hinter mindestens 30 Hacking-Kampagnen in 14 Ländern. Google hat den Bedrohungsakteur darüber hinaus mit dem iranischen Staat in Verbindung gebracht, genauer gesagt mit dem Korps der Islamischen Revolutionsgarden (IRGC). Im September 2022 gelang es den US-Behörden, einige Mitglieder zu identifizieren und für ihre Machenschaften zur Rechenschaft zu ziehen.

Doch neueren Untersuchungen zufolge haben diese Erfolge nicht dazu geführt, dass Charming Kitten ihre Aktivitäten einstellt. Laut einem Bericht von Sicherheitsforschern von Proofpoint haben sie sich eine neue Strategie zugelegt und verbreiten ihre Malware jetzt über LNK-Dateien.

Dabei geben sie sich als Nuklear-Experten aus den USA aus und treten an die Zielpersonen mit dem Angebot heran, Entwürfe zu außenpolitischen Themen zu diskutieren. Dazu hätten sie einige Ideen zusammengetragen, die der Empfänger der Phishing-Mail gerne lesen solle. In vielen Fällen schalten die Angreifer zusätzlich andere Personen in das Gespräch ein, die in der ersten Mail als Projektbeteiligte genannt werden. So soll ein Gefühl der Legitimität vermittelt und eine Beziehung zur Zielperson aufgebaut werden. Ist das gelungen, erhält das Opfer einen Link, über den es die vermeintlichen Dokumente zum Lesen herunterladen könne. Darin enthalten ist ein Google-Script-Makro, das zu einer Dropbox weiterleitet. Diese externe Quelle hostet ein passwortgeschütztes RAR-Archiv mit einem Malware-Dropper, der PowerShell-Code und eine LNK-Datei nutzt, um die Malware von einem Cloud-Hosting-Anbieter aus bereitzustellen.

Lädt das Opfer die verseuchten Dateien herunter, infiziert es sein System mit der Malware GorjolEcho, eine einfache Hintertür, die Befehle von den Hackern annimmt und ausführt. Um keinen Verdacht zu erregen, öffnet GorjolEcho außerdem eine PDF-Datei, deren Inhalt zur zuvor geführten Diskussion passt.

Diese Malware funktioniert nur bei Nutzern des Windows-Betriebssystems, doch Charming Kitten möchte sein Tätigkeitsfeld auch auf MacOS-User ausweiten. Sobald sie also merken, dass die Infektion mit GorjolEcho nicht erfolgreich war, wird ein neuer Link verschickt, unter dem eine Zip-Datei hinterlegt ist. Diese gibt sich als VPN-App des RUSI (Royal United Services Institute) aus und führt dazu, dass die auf MacOS zugeschnittene Malware NokNok heruntergeladen wird. Diese sammelt Systeminformationen, darunter die Version des Betriebssystems, laufende Prozesse und installierte Anwendungen, verschlüsselt alle gesammelten Daten, kodiert sie im base64-Format und exfiltriert sie.

Laut Untersuchungen von Proofpoint könnte NokNok außerdem über weitere Module mit spezifischeren spionagebezogenen Funktionen verfügen. Darauf weisen Übereinstimmungen im Code von NokNok mit der Malware GhostEcho hin.

In den vergangenen Monaten hat die Zahl der Angriffe auf das Apple-Betriebssystem zugenommen. Während es bislang immer hieß, dass MacOS-Nutzer sich um Malware nur wenige Sorgen machen müssten, zeigen die aktuellen Kampagnen, dass dies nicht länger der Fall ist. Hackergruppen wie Charming Kitten verfügen nicht nur über eine große Anpassungsfähigkeit, sondern auch über das nötige Wissen, um alle gängigen Betriebssysteme anzugreifen.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.