The Hacker News 网站披露，疑似名为 TA453 的伊朗黑客组织与一系列新鱼叉式网络钓鱼攻击有关，这些攻击使用恶意软件感染 Windows 和 macOS 操作系统。

Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链，该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会，TA453 就会移植其恶意软件，并试图启动一个名为 NokNok 的苹果风格的感染链。此外，研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。

关于 TA453

近期，网络安全公司 Volexity 强调黑客使用了一种名为 CharmPower（又名 GhostEcho 或 POWERSTAR）的 Powershell 植入物更新版本。2023 年 5 月中旬，Volexity 发现的某次网络攻击活动中，黑客团队向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL。

就 NokNok 而言，它能够获取多达四个模块，这些模块能够收集正在运行的进程、已安装的应用程序和系统元数据，并使用 LaunchAgent 设置持久性。这些模块“反映”与 CharmPower 相关模块的大部分功能。此外，NokNok 还共享了一些源代码，这些源代码与 2017 年该团伙使用的 macOS 恶意软件代码重叠。

TA453 攻击者还使用了一个虚假的文件共享网站，该网站可能会对访问者进行指纹识别，并作为追踪成功受害者的机制。

最后，研究人员表示 TA453 能够不断调整其恶意软件库，部署新的文件类型，并针对新的操作系统。