Ilmub uus Põhja-Koreaga lingitud macOS-i tagauks

Penka Hristovska
Avaldatud: Jaanuar 10, 2024

Eksperdid on avastanud uue pahavara variandi, mis sihib Apple'i macOS-i seadmeid.

Proofpointi ohuteadlane Greg Lesnewich analüüsis ja arutas uut viirust aastal. tehniline kirjeldus avaldas selle kuu alguses oma isiklikus ajaveebis. Ta ütles, et pahavara kannab nime SpectralBlur, ja kirjeldas seda kui "mõõdukalt võimeka" koodiosa.

Lesnewichi sõnul on uus macOS-i pahavara võimeline faile alla laadima, üles laadima ja kustutama, samuti käivitama shellikäsklusi ning sisenema une- ja talveunerežiimi.

Näidis laaditi VirusTotali esmakordselt üles eelmise aasta augustis, kuid see jäi viirusetõrjemootorite eest varjatuks ja teadlased märkasid seda alles eelmisel nädalal.

Lesnewich lõi ühenduse, kasutades pahavara KANDYKORN (tuntud ka kui SockRacket), mis oli varem tuvastatud BlueNoroffi arsenali osana. KANDYKORN-i kirjeldatakse konkreetselt kui kaugjuurdepääsu troojalast, mis võimaldab ohustatud lõpp-punktide ülevõtmist.

Objective-See turvateadlane Patrick Wardle vaatas ka SpectralBluri. Tema sõnul käivitab pahavara aktiveerimisel funktsiooni, mis on mõeldud selle konfiguratsiooni ja võrgusuhtluse dekrüpteerimiseks ja krüpteerimiseks. Pärast seda võtab ta mitmeid meetmeid, mille eesmärk on analüüsi takistada ja avastamisest kõrvale hoida.

Wardle selgitas et viirus kasutab käsu- ja juhtimiskeskuse (C&C) shellikäskude täitmiseks pseudoterminali. Ta usub, et see on spetsiaalselt programmeeritud failide kustutamiseks pärast neile juurdepääsu, asendades nende sisu nullidega.

Arvatakse, et pahavara kujundas Põhja-Korea kurikuulsa riiklikult rahastatud ohutegija Lazaruse alamrühm. Grupp saavutas kurikuulsa keskendumise tõttu krüptovaluutaäridele, eriti neile, kes on seotud sillaprojektide arendamisega. Iga krüptovaluuta töötab oma plokiahelas ja need "sillad" lõid arendajad, et võimaldada erinevate plokiahelate vahelist suhtlust. Kuigi neid auditeerivad sageli sõltumatud turbevormid, sisaldavad need siiski kriitilisi turvaauke, mis avavad ukse pahatahtlikele osalejatele.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/