Εμφανίζεται το νέο macOS Backdoor που συνδέεται με τη Βόρεια Κορέα

Πένκα Χριστόφσκα
Δημοσιεύθηκε στις: Ιανουάριος 10, 2024

Οι ειδικοί ανακάλυψαν μια νέα παραλλαγή κακόβουλου λογισμικού που στοχεύει τις συσκευές macOS της Apple.

Ο Greg Lesnewich, Senior Threat Researcher στο Proofpoint, ανέλυσε και συζήτησε τον νέο ιό στο μια τεχνική καταγραφή δημοσιεύτηκε στο προσωπικό του blog νωρίτερα αυτό το μήνα. Είπε ότι το κακόβουλο λογισμικό ονομάζεται SpectralBlur και το περιέγραψε ως ένα «μέτρια ικανό» κομμάτι κώδικα.

Το νέο κακόβουλο λογισμικό macOS μπορεί να κατεβάζει, να ανεβάζει και να διαγράφει αρχεία, καθώς και να εκτελεί εντολές φλοιού και να εισέρχεται σε καταστάσεις ύπνου και αδρανοποίησης, σύμφωνα με τον Lesnewich.

Το δείγμα ανέβηκε για πρώτη φορά στο VirusTotal τον Αύγουστο του περασμένου έτους, αλλά έμεινε κρυφό από μηχανές προστασίας από ιούς και οι ερευνητές το παρατήρησαν μόλις την περασμένη εβδομάδα.

Ο Lesnewich πραγματοποίησε τη σύνδεση χρησιμοποιώντας το KANDYKORN (επίσης γνωστό ως SockRacket), ένα κακόβουλο λογισμικό που είχε προηγουμένως αναγνωριστεί ως μέρος του οπλοστασίου του BlueNoroff. Το KANDYKORN περιγράφεται συγκεκριμένα ως trojan απομακρυσμένης πρόσβασης, που επιτρέπει την ανάληψη παραβιασμένων τελικών σημείων.

Ο ερευνητής ασφαλείας του Objective-See, Patrick Wardle, εξέτασε επίσης το SpectralBlur. Σύμφωνα με τον ίδιο, όταν ενεργοποιηθεί, το κακόβουλο λογισμικό ενεργοποιεί μια λειτουργία που έχει σχεδιαστεί για την αποκρυπτογράφηση και την κρυπτογράφηση της διαμόρφωσης και των επικοινωνιών του δικτύου. Κατόπιν αυτού, λαμβάνει μια σειρά μέτρων που αποσκοπούν στην παρεμπόδιση της ανάλυσης και στην αποφυγή της ανίχνευσης.

Wardle εξήγησε ότι ο ιός χρησιμοποιεί ένα ψευδοτερματικό για την εκτέλεση εντολών φλοιού από το κέντρο εντολών και ελέγχου (C&C). Πιστεύει ότι είναι ειδικά προγραμματισμένο να διαγράφει αρχεία μετά την πρόσβαση σε αυτά αντικαθιστώντας το περιεχόμενό τους με μηδενικά.

Πιστεύεται ότι το κακόβουλο λογισμικό σχεδιάστηκε από μια υποομάδα του Lazarus, ενός διαβόητου παράγοντα απειλών από τη Βόρεια Κορέα. Ο όμιλος κέρδισε τη φήμη για την εστίασή του σε επιχειρήσεις κρυπτονομισμάτων, ιδιαίτερα σε εκείνες που εμπλέκονται στην ανάπτυξη έργων «γέφυρας». Κάθε κρυπτονόμισμα λειτουργεί στο δικό του blockchain και αυτές οι «γέφυρες» δημιουργήθηκαν από προγραμματιστές για να επιτρέψουν τις αλληλεπιδράσεις μεταξύ διαφορετικών blockchain. Αν και συχνά ελέγχονται από ανεξάρτητες φόρμες ασφαλείας, εξακολουθούν να περιέχουν κρίσιμα τρωτά σημεία, τα οποία ανοίγουν την πόρτα για κακόβουλους παράγοντες.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/