Pojawia się nowy backdoor dla systemu macOS powiązany z Koreą Północną

Penka Christowska
Opublikowany: 10 stycznia 2024 r.

Eksperci odkryli nowy wariant złośliwego oprogramowania atakujący urządzenia Apple z systemem macOS.

Greg Lesnewich, starszy badacz zagrożeń w Proofpoint, przeanalizował i omówił nowego wirusa w zapis techniczny opublikowany na jego osobistym blogu na początku tego miesiąca. Powiedział, że złośliwe oprogramowanie nazywa się SpectralBlur i opisał je jako fragment kodu o „umiarkowanie wydajnych”.

Według Lesnewich nowe złośliwe oprogramowanie dla systemu macOS potrafi pobierać, przesyłać i usuwać pliki, a także uruchamiać polecenia powłoki oraz przechodzić w tryby uśpienia i hibernacji.

Próbkę po raz pierwszy przesłano do VirusTotal w sierpniu ubiegłego roku, ale pozostała ukryta przed silnikami antywirusowymi, a badacze zauważyli ją dopiero w zeszłym tygodniu.

Lesnewich nawiązał połączenie za pomocą KANDYKORN (znanego również jako SockRacket), złośliwego oprogramowania, które wcześniej zidentyfikowano jako część arsenału BlueNoroff. KANDYKORN jest szczegółowo opisywany jako trojan dostępu zdalnego, który umożliwia przejmowanie zaatakowanych punktów końcowych.

Badacz bezpieczeństwa z Objective-See, Patrick Wardle, również przyjrzał się SpectralBlur. Według niego po aktywacji szkodliwe oprogramowanie uruchamia funkcję mającą na celu odszyfrowanie i zaszyfrowanie jego konfiguracji oraz komunikacji sieciowej. Następnie podejmuje szereg działań mających na celu utrudnienie analizy i uniknięcie wykrycia.

Wardle wyjaśnione że wirus wykorzystuje pseudoterminal do wykonywania poleceń powłoki z centrum dowodzenia i kontroli (C&C). Uważa, że ​​jest specjalnie zaprogramowany do usuwania plików po uzyskaniu do nich dostępu poprzez zastąpienie ich zawartości zerami.

Uważa się, że szkodliwe oprogramowanie zostało zaprojektowane przez podgrupę Lazarusa, niesławnego sponsorowanego przez państwo ugrupowania cyberprzestępczego z Korei Północnej. Grupa zyskała rozgłos dzięki skupieniu się na biznesach kryptowalutowych, szczególnie tych zaangażowanych w rozwój projektów „pomostowych”. Każda kryptowaluta działa na własnym łańcuchu bloków, a te „mosty” zostały stworzone przez programistów, aby umożliwić interakcje między różnymi łańcuchami bloków. Chociaż często są kontrolowane przez niezależne formularze bezpieczeństwa, nadal zawierają krytyczne luki, co otwiera drogę złośliwym podmiotom.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/