Nieuwe macOS-backdoor gelinkt aan Noord-Korea duikt op

Penka Hristovska
Gepubliceerd op: 10 januari 2024

Experts hebben een nieuwe malwarevariant ontdekt die zich richt op de macOS-apparaten van Apple.

Greg Lesnewich, Senior Threat Researcher bij Proofpoint, analyseerde en besprak het nieuwe virus in een technisch schrijven eerder deze maand op zijn persoonlijke blog gepubliceerd. Hij zei dat de malware SpectralBlur heet en beschreef het als een “matig capabel” stukje code.

Volgens Lesnewich kan de nieuwe macOS-malware bestanden downloaden, uploaden en verwijderen, maar ook shell-opdrachten uitvoeren en in de slaap- en slaapstand gaan.

Het voorbeeld werd in augustus vorig jaar voor het eerst geüpload naar VirusTotal, maar bleef verborgen voor antivirusprogramma's en onderzoekers merkten het pas vorige week op.

Lesnewich maakte de verbinding met behulp van KANDYKORN (ook bekend als SockRacket), een malware die eerder was geïdentificeerd als onderdeel van het arsenaal van BlueNoroff. KANDYKORN wordt specifiek beschreven als een trojan voor externe toegang, die de overname van gecompromitteerde eindpunten mogelijk maakt.

Objective-See’s beveiligingsonderzoeker Patrick Wardle keek ook naar SpectralBlur. Volgens hem activeert de malware, wanneer geactiveerd, een functie die is ontworpen om de configuratie en netwerkcommunicatie te decoderen en te coderen. Hierna neemt het een reeks maatregelen die bedoeld zijn om de analyse te belemmeren en detectie te omzeilen.

Wardle uitgelegd dat het virus een pseudo-terminal gebruikt om shell-opdrachten uit te voeren vanuit het commando- en controlecentrum (C&C). Hij gelooft dat het specifiek is geprogrammeerd om bestanden te verwijderen nadat ze zijn geopend, door de inhoud ervan te vervangen door nullen.

Er wordt aangenomen dat de malware is ontworpen door een subgroep van Lazarus, een beruchte, door de staat gesponsorde dreigingsacteur uit Noord-Korea. De groep verwierf bekendheid vanwege zijn focus op cryptocurrency-bedrijven, met name degenen die betrokken zijn bij het ontwikkelen van ‘brugprojecten’. Elke cryptocurrency werkt op zijn eigen blockchain en deze ‘bruggen’ zijn door ontwikkelaars gemaakt om interacties tussen verschillende blockchains mogelijk te maken. Hoewel ze vaak worden gecontroleerd door onafhankelijke beveiligingsformulieren, bevatten ze nog steeds kritieke kwetsbaarheden, wat de deur openzet voor kwaadwillende actoren.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/