A SpectralBlur Backdoor változatos rosszindulatú eszközkészlettel érkezik

A kiberbiztonsággal foglalkozó kutatók felfedeztek egy új, SpectralBlur néven azonosított háttérajtót az Apple macOS-éhez, amely egybeesik az észak-koreai fenyegetés szereplőihez kapcsolódó ismert rosszindulatú programok kategóriájával. Greg Lesnewich biztonsági kutató szerint a SpectralBlur egy közepes képességű háttérajtó, amely olyan funkciókkal rendelkezik, mint a fájlok feltöltése/letöltése, shell-végrehajtás, konfigurációfrissítések, fájltörlés, hibernált állapot és alvó állapot, amelyek mindegyike a parancs- és vezérlőszervertől kapott parancsokon alapul.

Ez a rosszindulatú program hasonlóságot mutat a KANDYKORN-nal (más néven SockRacket), egy fejlett implantátummal, amely távelérési trójaiként működik, és képes átvenni az irányítást egy feltört gazdagép felett. Nevezetesen, a KANDYKORN igazodik a Lazarus alcsoport, a BlueNoroff (más néven TA444) tevékenységéhez, ami a RustBucket hátsó ajtó és az ObjCShellz rakomány telepítéséhez vezet a kampány utolsó szakaszában.

A SpectralBlur az észak-koreai fenyegetőzőhöz kapcsolódik

A legutóbbi megfigyelések azt jelzik, hogy a fenyegetés szereplői egyesítették a két fertőzési lánc összetevőit, és RustBucket cseppentőket használnak a KANDYKORN szállítására. Ezek a fejlemények rávilágítanak arra, hogy az észak-koreai fenyegetések szereplői egyre inkább a macOS-re összpontosítanak, különösen a kriptovaluta és a blokklánc szektoron belüli nagy értékű entitásokat célozva meg.

Patrick Wardle, egy másik biztonsági kutató további betekintést nyújtott a SpectralBlur működésébe, megjegyezve, hogy a Mach-O bináris fájlt 2023 augusztusában töltötték fel a VirusTotal kártevő-ellenőrző szolgáltatásba Kolumbiából. A KANDYKORN és a SpectralBlur közötti funkcionális hasonlóságok arra utalnak, hogy a különböző fejlesztők hasonló célokat szem előtt tartva hozták létre őket.

A SpectralBlur-t az különbözteti meg, hogy akadályozza az elemzést és elkerüli az észlelést, és a grantpt segítségével álterminált hoz létre, és végrehajtja a C2 szervertől kapott shell-parancsokat.