Uusi Pohjois-Koreaan linkitetty macOS-takaovi ilmestyy

Penka Hristovska
Julkaistu: Tammikuu 10, 2024

Asiantuntijat ovat löytäneet uuden haittaohjelmaversion, joka kohdistuu Applen macOS-laitteisiin.

Greg Lesnewich, Proofpointin vanhempi uhkatutkija, analysoi ja keskusteli uudesta viruksesta tekninen kirjoitus julkaistiin henkilökohtaisessa blogissaan aiemmin tässä kuussa. Hän sanoi, että haittaohjelma on nimeltään SpectralBlur, ja kuvaili sitä "kohtalaisen kykeneväksi" koodinpalaksi.

Lesnewichin mukaan uusi macOS-haittaohjelma pystyy lataamaan, lataamaan ja poistamaan tiedostoja sekä suorittamaan komentotulkkikomentoja ja siirtymään lepotilaan ja horrostilaan.

Näyte ladattiin VirusTotaliin ensimmäisen kerran viime vuoden elokuussa, mutta se jäi piiloon virustorjuntamoottoreilta ja tutkijat huomasivat sen vasta viime viikolla.

Lesnewich teki yhteyden KANDYKORNilla (tunnetaan myös nimellä SockRacket), haittaohjelma, joka oli aiemmin tunnistettu osaksi BlueNoroffin arsenaalia. KANDYKORN on erityisesti kuvattu etäkäyttötroijalaiseksi, joka mahdollistaa vaarantuneiden päätepisteiden haltuunoton.

Objective-Seen tietoturvatutkija Patrick Wardle tarkasteli myös SpectralBluria. Hänen mukaansa haittaohjelma laukaisee aktivoituessaan toiminnon, joka on suunniteltu purkamaan ja salaamaan sen konfiguraatiot ja verkkoviestintä. Tämän jälkeen se toteuttaa joukon toimenpiteitä, joiden tarkoituksena on estää analysointia ja välttää havaitseminen.

Wardle selitti että virus käyttää pseudopäätettä komentotulkkikomentojen suorittamiseen komento- ja ohjauskeskuksesta (C&C). Hän uskoo, että se on erityisesti ohjelmoitu poistamaan tiedostot niiden käytön jälkeen korvaamalla niiden sisältö nollilla.

Uskotaan, että haittaohjelman on suunnitellut Lazaruksen alaryhmä, pahamaineinen valtion tukema uhkatoimija Pohjois-Koreasta. Ryhmä sai mainetta keskittyessään kryptovaluuttaliiketoimintaan, erityisesti "silta"-projektien kehittämiseen osallistuviin. Jokainen kryptovaluutta toimii omalla lohkoketjullaan ja nämä "sillat" ovat kehittäjät luoneet mahdollistamaan vuorovaikutus eri lohkoketjujen välillä. Vaikka ne usein tarkastetaan riippumattomilla tietoturvalomakkeilla, ne sisältävät silti kriittisiä haavoittuvuuksia, mikä avaa oven haitallisille toimijoille.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/