彭卡·赫里斯托夫斯卡
发表于: 2024 年 1 月 10 日
专家发现了一种针对 Apple macOS 设备的新恶意软件变种。
Proofpoint 高级威胁研究员 Greg Lesnewich 在 技术文章 本月早些时候发表在他的个人博客上。他说,该恶意软件名为 SpectralBlur,并将其描述为一段“功能中等”的代码。
Lesnewich 表示,新的 macOS 恶意软件能够下载、上传和删除文件,以及运行 shell 命令以及进入睡眠和休眠模式。
该样本于去年 8 月首次上传到 VirusTotal,但它对防病毒引擎来说是隐藏的,研究人员直到上周才注意到它。
Lesnewich 使用 KANDYKORN(也称为 SockRacket)建立连接,该恶意软件之前已被识别为 BlueNoroff 武器库的一部分。 KANDYKORN 被具体描述为一种远程访问木马,它允许接管受感染的端点。
Objective-See 的安全研究员 Patrick Wardle 也研究了 SpectralBlur。据他介绍,一旦激活,该恶意软件就会触发一项旨在解密和加密其配置和网络通信的功能。随后,它采取了一系列旨在阻碍分析和逃避检测的措施。
瓦德尔 解释 该病毒使用伪终端从命令和控制中心 (C&C) 执行 shell 命令。他认为它经过专门编程,可以在访问文件后通过用零替换文件内容来删除文件。
据信,该恶意软件是由 Lazarus 的一个子组织设计的,Lazarus 是一个臭名昭著的朝鲜国家支持的威胁行为者。该组织因其专注于加密货币业务而声名狼藉,尤其是那些参与开发“桥梁”项目的业务。每种加密货币都在自己的区块链上运行,这些“桥梁”是由开发人员创建的,以实现不同区块链之间的交互。尽管它们经常受到独立安全形式的审核,但它们仍然包含严重漏洞,这为恶意行为者打开了大门。
- :是
- 10
- 40
- a
- ACCESS
- 访问
- 根据
- 演员
- 联盟
- 后
- 允许
- 还
- 尽管
- an
- 分析
- 分析
- 和
- 杀毒软件
- 阿森纳
- AS
- At
- 审计
- 八月
- 头像
- 后门
- 很
- 相信
- 相信
- 之间
- blockchain
- 块链
- 博客
- 企业
- 但是
- by
- 被称为
- 能力
- 携带
- Center
- 码
- 通信
- 妥协
- 配置
- 地都
- 包含
- Contents
- 控制
- 创建
- 危急
- cryptocurrency
- 加密货币业务
- 解码
- 描述
- 设计
- 检测
- 开发
- 发展
- 设备
- 不同
- 发现
- 讨论
- 门
- 下载
- 每
- 此前
- 出现
- enable
- 引擎
- 进入
- 逃脱
- 档
- (名字)
- 专注焦点
- 以下
- 针对
- 形式
- 止
- 功能
- 获得
- GitHub上
- 团队
- 民政事务总署
- 有
- he
- 老旧房屋
- 他
- 他的
- HTML
- HTTPS
- 确定
- in
- 独立
- 臭名昭著
- 拟
- 互动
- 参与
- IT
- 它的
- 已知
- 韩国
- (姓氏)
- 去年
- 拉撒路
- 友情链接
- 链接
- 看着
- MacOS的
- 制成
- 恶意
- 恶意软件
- 措施
- 模式
- 月
- 网络
- 全新
- 北
- 北朝鲜
- of
- 经常
- on
- 仅由
- 打开
- 运营
- 输出
- 己
- 部分
- 尤其
- 帕特里克
- 个人
- 片
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 先前
- 程序
- 项目
- 出版
- 范围
- 远程
- 通过远程访问
- 研究员
- 研究人员
- 运行
- 说
- 保安
- 前辈
- 壳
- 睡觉
- 特别是
- 住
- 仍
- 收购
- 需要
- 目标
- 文案
- 这
- 其
- 他们
- 博曼
- 他们
- Free Introduction
- 那些
- 威胁
- 至
- 木马
- 上传
- 上传
- 使用
- 运用
- 变种
- 病毒
- 漏洞
- 瓦德尔
- 是
- 网页
- 周
- 井
- 为
- ,尤其是
- 这
- 年
- 和风网