Търсене
Close this search box.

Северна Корея дебютира със зловреден софтуер „SpectralBlur“

Подкрепяният от севернокорейската държава АТР, известен като TA444, се завръща с нов лъскав зловреден софтуер, насочен към потребителите на macOS, наречен „SpectralBlur“. Персонализираният инструмент е най-новият от поредицата собствени зловредни програми, които групата за напреднали постоянни заплахи (APT) генерира постоянно – черта, която я отличава от други заплахи, спонсорирани от КНДР.

Според изследователя на заплахи от Proofpoint Грег Лесневич TA444 (известна още като APT38, BlueNoroff, BlackAlicanto, Coperenicum, Sapphire Sleet и Stardust Chollima) е дебютирала със зловредния софтуер SpectralBlur през август. Това е „умерено способна задна врата, която може да качва/изтегля файлове, да стартира шел, да актуализира конфигурацията си, да изтрива файлове, да хибернира или да спи въз основа на команди, издадени от [сървъра за управление и контрол]“, обясни той в публикация в личния си блог тази седмица.

TA444 често се припокрива с добре известния си братовчед APT, Lazarus Group. Например Лесневич отбеляза, че зловредният софтуер SpectralBlur съдържа в кода си подобни низове като крадеца на данни за macOS KandyKorn, който се появи в началото на ноември в кампании на Lazarus Group, използвани за насочване към блокчейн инженери, свързани с борси за криптовалути. Впоследствие Proofpoint успя да свърже KandyKorn и с TA444 чрез анализ на фишинг кампания.

SpectralBlur е само най-новият инструмент, предназначен за преследване на потребители на macOS, които се превръщат в особен фокус за севернокорейските нападатели от националната държава. „TA444 продължава да работи бързо и яростно с тези нови семейства зловреден софтуер за macOS“, пише Lesnewich.

В по-ранен анализ на Proofpoint се посочва, че създаването на зловреден софтуер – особено под формата на задни врати след експлоатиране като SpectralBlur и KandyKorn – е мястото, където TA444 наистина се отличава, което предполага, че „наред с операторите на TA444 има вграден или поне посветен на разработката на зловреден софтуер елемент“.

 

Източник: DARKReading

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!