Új, Észak-Koreához kapcsolódó MacOS Backdoor jelenik meg

Penka Hristovska
Kiadja: Január 10, 2024

A szakértők egy új malware-változatot fedeztek fel, amely az Apple macOS-eszközeit célozza meg.

Greg Lesnewich, a Proofpoint vezető fenyegetéskutatója elemezte és megvitatta az új vírust műszaki leírás a hónap elején személyes blogjában tette közzé. Azt mondta, a rosszindulatú program neve SpectralBlur, és "mérsékelten képes" kódrészletként írta le.

Lesnewich szerint az új macOS kártevő képes fájlok letöltésére, feltöltésére és törlésére, valamint shell-parancsok futtatására, valamint alvó és hibernált üzemmódba lépésre.

A mintát először tavaly augusztusban töltötték fel a VirusTotalra, de rejtve maradt a vírusirtó motorok elől, és a kutatók csak a múlt héten vették észre.

Lesnewich a kapcsolatot a KANDYKORN (más néven SockRacket) segítségével hozta létre, egy rosszindulatú program segítségével, amelyet korábban a BlueNoroff arzenáljának részeként azonosítottak. A KANDYKORN-t kifejezetten távoli hozzáférésű trójaiként írják le, amely lehetővé teszi a feltört végpontok átvételét.

Az Objective-See biztonsági kutatója, Patrick Wardle a SpectralBlur-t is megnézte. Elmondása szerint a kártevő aktiválásakor egy olyan funkciót indít el, amelynek célja a konfiguráció és a hálózati kommunikáció visszafejtése és titkosítása. Ezt követően számos intézkedést hoz, amelyek célja az elemzés akadályozása és az észlelés elkerülése.

Wardle magyarázható hogy a vírus pszeudoterminál segítségével hajtja végre a parancs- és vezérlőközpontból (C&C) érkező shell-parancsokat. Úgy véli, hogy kifejezetten úgy van beprogramozva, hogy a hozzáférés után törölje a fájlokat úgy, hogy a tartalmukat nullára cseréli.

Úgy gondolják, hogy a rosszindulatú programot a Lazarus, egy hírhedt, államilag támogatott észak-koreai fenyegetési szereplő egy alcsoportja tervezte. A csoport a kriptovaluta-üzletágakra koncentrált, különösen a „híd” projektek fejlesztésében részt vevőkkel. Minden kriptovaluta a saját blokkláncán működik, és ezeket a „hidakat” a fejlesztők hozták létre, hogy lehetővé tegyék a különböző blokkláncok közötti interakciókat. Bár gyakran független biztonsági űrlapok ellenőrzik őket, még mindig tartalmaznak kritikus sérülékenységeket, amelyek megnyitják a kaput a rosszindulatú szereplők előtt.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/