MacOS Backdoor ใหม่ที่เชื่อมโยงกับเกาหลีเหนือเกิดขึ้น

เปนกา ฮริสตอฟสกา
เผยแพร่เมื่อ: January 10, 2024

ผู้เชี่ยวชาญได้ค้นพบตัวแปรมัลแวร์ใหม่ที่กำหนดเป้าหมายอุปกรณ์ macOS ของ Apple

Greg Lesnewich นักวิจัยภัยคุกคามอาวุโสของ Proofpoint วิเคราะห์และหารือเกี่ยวกับไวรัสตัวใหม่ การเขียนทางเทคนิค เผยแพร่บนบล็อกส่วนตัวของเขาเมื่อต้นเดือนนี้ เขากล่าวว่ามัลแวร์นี้เรียกว่า SpectralBlur และอธิบายว่ามันเป็นโค้ดที่ "มีความสามารถปานกลาง"

มัลแวร์ macOS ตัวใหม่สามารถดาวน์โหลด อัพโหลด และลบไฟล์ได้ เช่นเดียวกับการรันคำสั่งเชลล์ และการเข้าสู่โหมดสลีปและไฮเบอร์เนต ตามข้อมูลของ Lesnewich

ตัวอย่างนี้ถูกอัปโหลดครั้งแรกไปยัง VirusTotal ในเดือนสิงหาคมปีที่แล้ว แต่ยังคงซ่อนตัวจากโปรแกรมป้องกันไวรัส และนักวิจัยสังเกตเห็นมันเมื่อสัปดาห์ที่แล้วเท่านั้น

Lesnewich ทำการเชื่อมต่อโดยใช้ KANDYKORN (หรือที่เรียกว่า SockRacket) ซึ่งเป็นมัลแวร์ที่เคยระบุว่าเป็นส่วนหนึ่งของคลังแสงของ BlueNoroff KANDYKORN ได้รับการอธิบายไว้โดยเฉพาะว่าเป็นโทรจันการเข้าถึงระยะไกล ซึ่งช่วยให้สามารถรับช่วงปลายทางที่ถูกบุกรุกได้

Patrick Wardle นักวิจัยด้านความปลอดภัยของ Objective-See ก็พิจารณา SpectralBlur เช่นกัน ตามที่เขาพูดเมื่อเปิดใช้งานมัลแวร์จะเรียกใช้ฟังก์ชันที่ออกแบบมาเพื่อถอดรหัสและเข้ารหัสการกำหนดค่าและการสื่อสารเครือข่าย หลังจากนี้ จะใช้มาตรการหลายอย่างที่มีจุดมุ่งหมายเพื่อขัดขวางการวิเคราะห์และหลบเลี่ยงการตรวจจับ

เดิ้ล อธิบาย ว่าไวรัสใช้เทอร์มินัลหลอกเพื่อดำเนินการคำสั่งเชลล์จากศูนย์บัญชาการและควบคุม (C&C) เขาเชื่อว่ามันถูกตั้งโปรแกรมไว้โดยเฉพาะให้ลบไฟล์หลังจากเข้าถึงโดยแทนที่เนื้อหาด้วยเลขศูนย์

เชื่อกันว่ามัลแวร์ได้รับการออกแบบโดยกลุ่มย่อยของ Lazarus ซึ่งเป็นผู้คุกคามที่ได้รับการสนับสนุนจากรัฐจากเกาหลีเหนือ กลุ่มนี้มีชื่อเสียงในทางลบจากการมุ่งเน้นไปที่ธุรกิจสกุลเงินดิจิทัล โดยเฉพาะอย่างยิ่งผู้ที่เกี่ยวข้องกับการพัฒนาโครงการ "สะพาน" แต่ละสกุลเงินดิจิทัลทำงานบนบล็อกเชนของตัวเอง และ "สะพาน" เหล่านี้ถูกสร้างขึ้นโดยนักพัฒนาเพื่อให้สามารถโต้ตอบระหว่างบล็อกเชนที่แตกต่างกันได้ แม้ว่าพวกเขามักจะได้รับการตรวจสอบโดยแบบฟอร์มความปลอดภัยที่เป็นอิสระ แต่ก็ยังมีช่องโหว่ที่สำคัญซึ่งเปิดประตูให้กับผู้ไม่ประสงค์ดี

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/