Появился новый бэкдор macOS, связанный с Северной Кореей

Пенка Христовска
Опубликовано: 10 января 2024

Эксперты обнаружили новый вариант вредоносного ПО, нацеленный на устройства Apple MacOS.

Грег Лесневич, старший исследователь угроз в Proofpoint, проанализировал и обсудил новый вирус в техническое описание опубликовано в его личном блоге ранее в этом месяце. Он сказал, что вредоносная программа называется SpectralBlur, и описал ее как фрагмент кода «умеренно работоспособный».

По словам Лесневича, новое вредоносное ПО для macOS способно загружать, выгружать и удалять файлы, а также запускать команды оболочки и переходить в режимы сна и гибернации.

Впервые образец был загружен на VirusTotal в августе прошлого года, но он оставался скрытым от антивирусных систем, и исследователи заметили его только на прошлой неделе.

Лесневич установил соединение с помощью KANDYKORN (также известного как SockRacket), вредоносного ПО, которое ранее было идентифицировано как часть арсенала BlueNoroff. KANDYKORN описывается как троян удаленного доступа, который позволяет захватывать скомпрометированные конечные точки.

Исследователь безопасности Objective-See Патрик Уордл также рассмотрел SpectralBlur. По его словам, при активации вредоносная программа запускает функцию, предназначенную для расшифровки и шифрования своей конфигурации и сетевых коммуникаций. После этого он принимает ряд мер, направленных на то, чтобы затруднить анализ и избежать обнаружения.

Уордль объяснены что вирус использует псевдотерминал для выполнения команд оболочки из центра управления и контроля (C&C). Он считает, что он специально запрограммирован на удаление файлов после доступа к ним путем замены их содержимого нулями.

Считается, что вредоносное ПО было разработано подгруппой Lazarus, печально известного государственного злоумышленника из Северной Кореи. Группа получила известность благодаря своему вниманию к криптовалютному бизнесу, особенно к тем, которые участвуют в разработке «мостовых» проектов. Каждая криптовалюта работает на своем собственном блокчейне, и эти «мосты» были созданы разработчиками для обеспечения взаимодействия между различными блокчейнами. Хотя они часто проверяются независимыми службами безопасности, они по-прежнему содержат критические уязвимости, которые открывают двери для злоумышленников.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/