Ny macOS-bagdør knyttet til Nordkorea dukker op

Penka Hristovska
Udgivet på: Januar 10, 2024

Eksperter har opdaget en ny malware-variant, der er rettet mod Apples macOS-enheder.

Greg Lesnewich, Senior Threat Researcher hos Proofpoint, analyserede og diskuterede den nye virus i en teknisk skrivelse offentliggjort på hans personlige blog tidligere på måneden. Han sagde, at malwaren hedder SpectralBlur og beskrev den som et "moderat kapabelt" stykke kode.

Den nye macOS-malware er i stand til at downloade, uploade og slette filer samt køre shell-kommandoer og gå i dvale- og dvaletilstand, ifølge Lesnewich.

Prøven blev først uploadet til VirusTotal i august sidste år, men den forblev skjult for antivirusmotorer, og forskere bemærkede det først i sidste uge.

Lesnewich oprettede forbindelsen ved hjælp af KANDYKORN (også kendt som SockRacket), en malware, der tidligere var blevet identificeret som en del af BlueNoroffs arsenal. KANDYKORN beskrives specifikt som en fjernadgangs-trojan, som giver mulighed for overtagelse af kompromitterede slutpunkter.

Objective-Sees sikkerhedsforsker Patrick Wardle kiggede også på SpectralBlur. Ifølge ham udløser malwaren, når den er aktiveret, en funktion designet til at dekryptere og kryptere dens konfiguration og netværkskommunikation. Efter dette tager den en række foranstaltninger, der har til formål at hindre analyse og undgå detektion.

Wardle forklarede at virussen bruger en pseudo-terminal til at udføre shell-kommandoer fra kommando- og kontrolcenteret (C&C). Han mener, at det er specifikt programmeret til at slette filer efter at have fået adgang til dem ved at erstatte deres indhold med nuller.

Det menes, at malwaren er designet af en undergruppe af Lazarus, en berygtet statssponsoreret trusselsaktør fra Nordkorea. Gruppen blev kendt for sit fokus på cryptocurrency-virksomheder, især dem, der er involveret i at udvikle "bro"-projekter. Hver kryptovaluta opererer på sin egen blockchain, og disse "broer" blev skabt af udviklere for at muliggøre interaktioner mellem forskellige blockchains. Selvom de ofte bliver revideret af uafhængige sikkerhedsformer, indeholder de stadig kritiske sårbarheder, hvilket åbner døren for ondsindede aktører.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/