2023 年 5 月中旬，TA453（又名 Charming Kitten、APT42、Mint Sandstorm、Yellow Garuda）偽裝成皇家聯合軍種研究所（RUSI）的高級研究員，向媒體人發送釣魚郵件進行攻擊。美國一家專注于外交事務智庫的專家收到了有關“全球安全背景下的伊朗”的項目反饋，并提供草稿進行審查。攻擊者不僅表示會提供酬金，還提供了其他核安全專家的背書。TA453 最終使用云服務投遞攻擊鏈，讓受害者會下載新開發的 PowerShell 后門 GorjoEcho。

角色扮演

隨著 JCPOA 談判的進行，伊朗方面發現自己日益孤立。TA453 繼續扮演與中東事務和核安全有關的專家，針對與這些外交政策有關的專家發起攻擊。

image.png-171.8kB

前期釣魚郵件

image.png-420.9kB

后續釣魚郵件

Proofpoint 的研究人員判斷這些賬戶都是攻擊者創建的模擬賬戶，而不是賬戶本身被竊。

復雜感染

在進行了電子郵件交互后，TA453 就會通過 Google Macro 發送一個惡意鏈接。該鏈接將攻擊目標重定向到 Dropbox 的 URL，該 URL 可下載加密的 RAR 文件（Abraham Accords & MENA.rar）。壓縮文件中包含一個名為 Abraham Accords & MENA.pdf.lnk的 Dropper，后續會使用 PowerShell 代碼從云服務商從下載后續 Payload。

image.png-119.5kB

完整感染鏈

后續感染階段

惡意軟件使用的 Gorjol 函數通過 .txt 文件下載 base64 編碼的數據，解碼后如下所示：

image.png-237.1kB

Borjol 函數

Borjol 通過合法的 Clever Cloud 服務使用 AES 加密的 HTTPS 鏈接與 fuschia-rhinestone.cleverapps[.]io 進行通信。返回的數據解密為另一個 Borjol 函數，該函數使用之前的變量并解密 PowerShell 后門 GorjolEcho。

GorjolEcho 首先顯示一個誘餌 PDF 文檔，該文檔與釣魚文檔一致。后門將信息編碼后回傳給 C&C 服務器，如果 C&C 服務器響應除 400 或 200 以外的任何 HTTP 響應，都會顯示韓語錯誤消息（大意為：哇，我們在做什么？）。收到有效響應后，GorjolEcho 就可以啟動或者停止來自攻擊者的命令。研究人員在分析時并未發現，但有可能受害者已經下載了被 Volexity 稱為 POWERSTART 的惡意代碼。

image.png-440.5kB

GorjolEcho 后門

蘋果設備也不放過

TA453 發送了 GorjolEcho 后門后，忽然就意識到惡意代碼無法在蘋果設備上運行。一周后 TA453 再次發送釣魚郵件，這次提供了在 Mac 操作系統上可以運行的感染鏈。

image.png-486.6kB

針對 Mac 操作系統的釣魚郵件

郵件攜帶一個加密的 ZIP 文件，其中包含一個定制的 Mac 應用程序，該程序偽裝成 RUSI 的 VPN 或者共享驅動器的樣子。執行后，腳本會通過指定的 URL 下載后續 Payload。二階段是名為 NokNok 的 bash 腳本，主要是后門程序。通過操作系統名稱、主機名稱與隨機數來創建唯一標識，經過編碼與加密后發送到 C&C 服務器。腳本期望的響應為 KillKill 或者 ModuleName，前者會終止運行，后者會執行響應的命令。

image.png-80.3kB

NokNok

分析人員確定了四個相似的模塊：

• processes
• informations
• applications
• persistence

image.png-140.4kB

多個模塊

這些模塊都是 base 腳本，旨在收集信息后回傳至 C&C 服務器。processes 模塊會使用 ps -aux 命令獲取當前正在運行的進程列表：

image.png-132.2kB

processes 模塊

information 模塊使用 system_profiler 獲取軟件相關信息，特別是 SPSoftwareDataType（包含操作系統版本、運行時間、已安裝軟件等）。還會使用 ifconfig 收集網絡相關信息，通過 base64 編碼保存到 result.txt 進行回傳。

image.png-147.2kB

information 模塊

applications 模塊也是類似的，使用 echo 列出已安裝應用程序。persistence 模塊首先釋放 LaunchAgents 然后將硬編碼密鑰寫入 Id.txt，繼而通過 Finder 建立持久化。

image.png-148kB

persistence 模塊

TA453 很可能為 GorjolEcho 與 NokNok 分別量身定做了攻擊模塊，但功能是大體類似的。從代碼來看，與 Goolge 此前披露的 Charming Kitten 十分相似。而且，NokNok 的部分功能也與 2017 年披露的 Charming Kitten Mac 惡意軟件相似。

虛假文件共享網站

電子郵件中的惡意附件介紹了虛假文件共享服務的鏈接與憑據，該服務偽裝成 RUSI Wing FTP 服務器。

image.png-78.3kB

虛假網站

該網站拒絕給出的用戶名與密碼，可能只是為了確定惡意軟件投遞成功。該網站可能對訪問者進行了跟蹤與指紋識別，分析人員并未發現異常。通過郵件確認，TA453 表示用戶名密碼是正確的，只要運行應用程序即可訪問文件。

image.png-54.6kB

錯誤消息

歸因

發現的感染鏈與過去的 TA453 不同，但分析人員仍然高度可信地確認該攻擊行動為 TA453 所為。Proofpoint 認為 TA453 主要是為了支持伊斯蘭革命衛隊（IRGC）的工作，特別是 IRGC 情報組織。