З’являється новий бекдор macOS, пов’язаний із Північною Кореєю

Пенка Христовська
Опубліковано: Січень 10, 2024

Фахівці виявили новий варіант шкідливого програмного забезпечення, націлене на пристрої Apple під керуванням macOS.

Грег Лесневіч, старший дослідник загроз у Proofpoint, проаналізував і обговорив новий вірус у технічний опис опублікував у своєму особистому блозі на початку цього місяця. Він сказав, що зловмисне програмне забезпечення називається SpectralBlur, і описав його як «помірно потужний» фрагмент коду.

Нова шкідлива програма для macOS здатна завантажувати, завантажувати та видаляти файли, а також запускати команди оболонки та переходити в режими сну та глибокого сну, за словами Лесневіча.

Зразок був вперше завантажений у VirusTotal у серпні минулого року, але він залишився прихованим від антивірусних механізмів, і дослідники помітили його лише минулого тижня.

Lesnewich встановив підключення за допомогою KANDYKORN (також відомого як SockRacket), шкідливого програмного забезпечення, яке раніше було визначено як частину арсеналу BlueNoroff. KANDYKORN конкретно описується як троян віддаленого доступу, який дозволяє заволодіти скомпрометованими кінцевими точками.

Дослідник безпеки Objective-See Патрік Вордл також розглядав SpectralBlur. За його словами, при активації зловмисне програмне забезпечення запускає функцію, призначену для розшифровки та шифрування його конфігурації та мережевого зв’язку. Після цього він вживає ряд заходів, спрямованих на перешкоджання аналізу та уникнення виявлення.

Уорд пояснені що вірус використовує псевдотермінал для виконання команд оболонки з командно-контрольного центру (C&C). Він вважає, що він спеціально запрограмований на видалення файлів після доступу до них, замінюючи їхній вміст нулями.

Вважається, що зловмисне програмне забезпечення було розроблено підгрупою Lazarus, сумно відомого державного агента з Північної Кореї. Група здобула сумну популярність завдяки своїй зосередженості на криптовалютному бізнесі, особливо на тих, хто займається розробкою «мостових» проектів. Кожна криптовалюта працює на власному блокчейні, і ці «мости» були створені розробниками, щоб забезпечити взаємодію між різними блокчейнами. Хоча вони часто перевіряються незалежними формами безпеки, вони все одно містять критичні вразливості, що відкриває двері для зловмисників.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/