Søg

Er du blevet kontaktet af atomeksperter fra USA? Så hold øje med denne malware

Ny såkaldt NokNok-malware inficerer lige nu Windows og macOS. Læs alt om malwaren og bagmændene her.

10. juli 2023 kl. 08.35
Artikel top billede

(Foto: Jefferson Santos)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Nok nok... Hvem dér? Malware. Malware hvem? Noknok.... Hva'?

Okay, nogen banke-på vittigheder virker ikke på skrift (eller generelt).

Men ikke desto mindre, har sikkerhedsfolk observeret en ny malware-kampagne, hvor hackere bruger såkaldt NokNok-malware rettet mod macOS-systemer.

Som det ser ud nu, er Charming Kitten APT-gruppen (også kendt som APT42 eller Phosphorus) de sandsynlige bagmænd bag kampagnen, som startede i maj, fortæller Bleeping Computer.

Google har før knyttet APT42 til den iranske stat, mere specifikt Islamic Revolutionary Guard Corps (IRGC).

APT42 bruger ofte phishing, som metode for at komme i kontakt med sine ofre. Her udgiver gruppen sig ofte for at være forretningsfolk med et ærinde.

Eksempelvis udgiver gruppen sig for at være atomeksperter fra USA og henvendte sig til sine angrebsmål med et tilbud om at gennemgå udkast om udenrigspolitiske emner.

Angrebene foregår ved, at APT42, efter have vundet offerets tillid, sender offeret et ondsindet link, der indeholder en Google Script-makro, og omdirigerer offeret til en Dropbox-URL.

Denne eksterne kilde er vært for et adgangskodebeskyttet RAR-arkiv med en malware-dropper, der udnytter PowerShell-kode og en LNK-fil til at igangsætte malwaren fra en cloud-hostingudbyder.

Den endelige payload er en bagdør kaldet GorjolEcho, der accepterer og udfører kommandoer fra sine fjernoperatører. For at undgå at vække mistanke vil GorjolEcho åbne en PDF med et emne, der er relevant for den diskussion, angriberne havde med målet tidligere.

Bruger offeret ikke Windows men macOS, sender APT42 i stedet et link til "library-store[.]camdvr[.]org", der er vært for en ZIP-fil, der udgiver sig som en RUSI (Royal United Services Institute) VPN-app.

Når Apple-scriptfilen udføres i arkivet, henter en curl-kommando NokNok-payloaden og etablerer en bagdør til ofrets system.

Og herfra år NokNok ellers i gang med det helt store arejde.

Først genererer malwaren et system-id og derfra overtage kommando- og kontrolserveren (C2) og begynder derefter at eksfiltrere data til den.

NokNok-malwaren indsamler systemoplysninger, og krypterer alle indsamlede data, koder dem i base64-formatet og eksfiltrerer dem.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    KMD A/S

    Senior Full Stack Developer

    Københavnsområdet

    Styrelsen for Danmarks Fængsler

    Incident & Problem Manager til styrkelse af stabil og sikker IT-drift

    Københavnsområdet

    Jyske Bank

    Graduate, Data Engineer til Jyske Capital

    Midtjylland

    Capgemini Danmark A/S

    Open Application (Denmark)

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Idura har pr. 5. januar 2026 ansat Arjuna Enait, 34 år, som software engineer. Han skal især beskæftige sig med videreudvikling af Verify-systemet samt arbejde på implementeringen af CIBA i Norsk BankID. Han kommer fra en stilling som software engineer hos Lasso X. Han er uddannet civilingeniør med speciale i geoteknik. Han har tidligere beskæftiget sig med at bygge microservices til dataindsamling og -processering, samt opdatere legacy-systemer. Nyt job

    Arjuna Enait

    Idura

    Idura har pr. 1. januar 2026 ansat Martin Ingolf Broberg, 43 år, som webmaster. Han skal især beskæftige sig med at få idura.eu til at spille på alle digitale tangenter og sikre, at siden genererer nye leads. Han kommer fra en stilling som team lead hos Danmarks Radio. Han har tidligere beskæftiget sig med blandt andet at stifte og lede et analyseteam i DR med fokus på web og lyd. Nyt job

    Martin Ingolf Broberg

    Idura

    Idura har pr. 1. december 2025 ansat Anders Høiberg Michaelsen, 29 år, som software engineer. Han skal især beskæftige sig med kodning og integration med eID-udbydere som MitID og norsk BankID. Han kommer fra en stilling som programmør og systemudvikler hos Teal Nordic. Han er uddannet diplomingeniør i softwareteknologi fra DTU. Han har tidligere beskæftiget sig med bl.a. at lave open source projekter til at hjælpe andre udviklere med at samle information hurtigt. Nyt job

    Anders Høiberg Michaelsen

    Idura

    Idura har pr. 1. januar 2026 ansat Lars Mørch, 54 år, som VP of Sales. Han skal især beskæftige sig med Iduras salgsorganisation, implementere en ny go-to-market-model og sikre udviklingen af virksomhedens identitetsplatform. Han kommer fra en stilling som Regional Vice President hos Avallone. Han er uddannet på CBS og har en BA i Organization & Innovation. Han har tidligere beskæftiget sig med internationalt SaaS-salg og forretningsudvikling fra både scale-ups og globale teknologivirksomheder. Nyt job

    Lars Mørch

    Idura

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Du får rigtigt meget for pengene, hvis du tør tage chancen med denne lille danske headset-producent
    2 Dansk top-profil: Den danske stat vil inden længe blive nødt til at overtage ejerskabet af vigtige it-teknologier
    3 Har udviklet helt ny teknik: Data lagret i almindeligt glas kan holde i 10.000 år - kan løse stort og dyrt problem
    4 Microsoft Danmark indsætter ny direktør: To direktører forlader selskabet
    5 Nørgaard: Derfor vil der altid mangle mødelokaler i dit liv
    6 Nye stramme sikkerhedsregler for statens ansatte: Skal nu destruere rejse-pc’er efter ophold i udlandet
    7 Fejl i ny Windows-opdatering: Systemer på stribe sætter ud
    8 Svensk militærofficer fik stjålet arbejdscomputer til Nato-møde: Tyven anklages for russisk spionage

    Se seneste uge