Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Исследователи кибербезопасности обнаружили новый бэкдор Apple macOS под названием SpectralBlur, который совпадает с известным семейством вредоносных программ, приписываемых северокорейским злоумышленникам.
"SpectralBlur - это бэкдор с умеренными возможностями, который может загружать файлы, запускать оболочку, обновлять ее конфигурацию, удалять файлы, переходить в спящий режим на основе команд, выдаваемых с сервера [command-and-control]", - сказал исследователь безопасности Грег Лесневич.
Вредоносное ПО имеет сходство с KANDYKORN (он же SockRacket), усовершенствованным имплантатом, который функционирует как троянец удаленного доступа, способный захватить контроль над скомпрометированным хостом.
Стоит отметить, что деятельность KANDYKORN также пересекается с другой кампанией, организованной подгруппой Lazarus, известной как BlueNoroff (она же TA444), кульминацией которой является развертывание бэкдора, называемого RustBucket, и полезной нагрузки поздней стадии, получившей название ObjCShellz.
В последние месяцы было замечено, что исполнитель угрозы объединяет разрозненные части этих двух цепочек заражения, используя капельницы RustBucket для доставки КАНДИКОРНА.
Последние данные являются еще одним признаком того, что северокорейские злоумышленники все чаще нацеливаются на macOS для проникновения в высокоценные объекты, особенно в индустрии криптовалют и блокчейна.
"TA444 продолжает работать быстро и яростно с этими новыми семействами вредоносных программ для macOS", - сказал Лесневич.
Исследователь безопасности Патрик Уордл, который поделился дополнительной информацией о внутренней работе SpectralBlur, сказал, что бинарный файл Mach-O был загружен в службу сканирования вредоносных программ VirusTotal в августе 2023 года из Колумбии.
Функциональное сходство между KANDYKORN и SpectralBlur повышает вероятность того, что они могли быть созданы разными разработчиками с учетом одних и тех же требований.
Что выделяет вредоносное ПО, так это его попытки помешать анализу и избежать обнаружения при использовании grantpt для настройки псевдотерминала и выполнения команд оболочки, полученных от сервера C2.
В 2023 году было обнаружено в общей сложности 21 новое семейство вредоносных программ, предназначенных для атак на системы macOS, включая программы-вымогатели, похитители информации, трояны удаленного доступа и вредоносные программы, поддерживаемые национальными государствами, по сравнению с 13, выявленными в 2022 году.
"Учитывая продолжающийся рост и популярность macOS (особенно на предприятиях!), 2024 год, несомненно, принесет множество новых вредоносных программ для macOS", - отметил Уордл.
"SpectralBlur - это бэкдор с умеренными возможностями, который может загружать файлы, запускать оболочку, обновлять ее конфигурацию, удалять файлы, переходить в спящий режим на основе команд, выдаваемых с сервера [command-and-control]", - сказал исследователь безопасности Грег Лесневич.
Вредоносное ПО имеет сходство с KANDYKORN (он же SockRacket), усовершенствованным имплантатом, который функционирует как троянец удаленного доступа, способный захватить контроль над скомпрометированным хостом.
Стоит отметить, что деятельность KANDYKORN также пересекается с другой кампанией, организованной подгруппой Lazarus, известной как BlueNoroff (она же TA444), кульминацией которой является развертывание бэкдора, называемого RustBucket, и полезной нагрузки поздней стадии, получившей название ObjCShellz.
В последние месяцы было замечено, что исполнитель угрозы объединяет разрозненные части этих двух цепочек заражения, используя капельницы RustBucket для доставки КАНДИКОРНА.
Последние данные являются еще одним признаком того, что северокорейские злоумышленники все чаще нацеливаются на macOS для проникновения в высокоценные объекты, особенно в индустрии криптовалют и блокчейна.
"TA444 продолжает работать быстро и яростно с этими новыми семействами вредоносных программ для macOS", - сказал Лесневич.
Исследователь безопасности Патрик Уордл, который поделился дополнительной информацией о внутренней работе SpectralBlur, сказал, что бинарный файл Mach-O был загружен в службу сканирования вредоносных программ VirusTotal в августе 2023 года из Колумбии.
Функциональное сходство между KANDYKORN и SpectralBlur повышает вероятность того, что они могли быть созданы разными разработчиками с учетом одних и тех же требований.
Что выделяет вредоносное ПО, так это его попытки помешать анализу и избежать обнаружения при использовании grantpt для настройки псевдотерминала и выполнения команд оболочки, полученных от сервера C2.
В 2023 году было обнаружено в общей сложности 21 новое семейство вредоносных программ, предназначенных для атак на системы macOS, включая программы-вымогатели, похитители информации, трояны удаленного доступа и вредоносные программы, поддерживаемые национальными государствами, по сравнению с 13, выявленными в 2022 году.
"Учитывая продолжающийся рост и популярность macOS (особенно на предприятиях!), 2024 год, несомненно, принесет множество новых вредоносных программ для macOS", - отметил Уордл.
