SpectralBlur Bagdør leveres med et varieret ondsindet værktøjssæt

Forskere i cybersikkerhed har afsløret en ny bagdør til Apples macOS, identificeret som SpectralBlur, som falder sammen med en kendt malware-kategori forbundet med nordkoreanske trusselsaktører. Ifølge sikkerhedsforsker Greg Lesnewich er SpectralBlur en moderat egnet bagdør med funktioner som filupload/download, shell-udførelse, konfigurationsopdateringer, filsletning, dvaletilstand og dvale, alt sammen baseret på kommandoer fra kommando-og-kontrolserveren.

Denne malware udviser ligheder med KANDYKORN (også kendt som SockRacket), et avanceret implantat, der fungerer som en fjernadgangstrojan, der kan tage kontrol over en kompromitteret vært. Navnlig er KANDYKORN på linje med aktiviteterne i Lazarus-undergruppen, BlueNoroff (alias TA444), hvilket fører til indsættelsen af RustBucket-bagdøren og ObjCShellz-nyttelasten i de sidste faser af kampagnen.

SpectralBlur knyttet til nordkoreansk trusselskuespiller

Nylig overvågning indikerer, at trusselsaktøren har fusioneret komponenter fra begge infektionskæder ved at bruge RustBucket-dråber til at levere KANDYKORN. Disse udviklinger fremhæver nordkoreanske trusselsaktørers stigende fokus på macOS, især rettet mod enheder af høj værdi inden for kryptovaluta- og blockchain-sektoren.

Patrick Wardle, en anden sikkerhedsforsker, gav yderligere indsigt i SpectralBlurs virkemåde og bemærkede, at Mach-O-binæren blev uploadet til VirusTotal-malwarescanningstjenesten i august 2023 fra Colombia. De funktionelle ligheder mellem KANDYKORN og SpectralBlur antyder muligheden for, at forskellige udviklere har skabt dem med lignende mål i tankerne.

Det, der kendetegner SpectralBlur, er dets bestræbelser på at hindre analyse og undgå detektion, ved at bruge grantpt til at etablere en pseudo-terminal og udføre shell-kommandoer modtaget fra C2-serveren.