SpectralBlur bakdør kommer med et variert ondsinnet verktøysett

Forskere innen cybersikkerhet har avdekket en ny bakdør for Apples macOS, identifisert som SpectralBlur, som sammenfaller med en kjent skadevarekategori knyttet til nordkoreanske trusselaktører. I følge sikkerhetsforsker Greg Lesnewich er SpectralBlur en moderat kapabel bakdør med funksjonaliteter som filopplasting/nedlasting, kjøring av skall, konfigurasjonsoppdateringer, filsletting, dvalemodus og hvilemodus, alt basert på kommandoer fra kommando-og-kontrollserveren.

Denne skadelige programvaren viser likheter med KANDYKORN (også kjent som SockRacket), et avansert implantat som fungerer som en fjerntilgangstrojaner som kan ta kontroll over en kompromittert vert. Spesielt er KANDYKORN på linje med aktivitetene til Lazarus-undergruppen, BlueNoroff (aka TA444), som fører til utplasseringen av RustBucket-bakdøren og ObjCShellz-nyttelasten i de siste stadiene av kampanjen.

SpectralBlur knyttet til nordkoreansk trusselskuespiller

Nylig overvåking indikerer at trusselaktøren har slått sammen komponenter fra begge infeksjonskjedene, ved å bruke RustBucket-dråpere for å levere KANDYKORN. Denne utviklingen fremhever det økende fokuset til nordkoreanske trusselaktører på macOS, spesielt rettet mot enheter med høy verdi innen kryptovaluta- og blokkjedesektorene.

Patrick Wardle, en annen sikkerhetsforsker, ga ytterligere innsikt i SpectralBlurs virkemåte, og la merke til at Mach-O-binærfilen ble lastet opp til VirusTotal-skadevareskanningstjenesten i august 2023 fra Colombia. De funksjonelle likhetene mellom KANDYKORN og SpectralBlur antyder muligheten for at forskjellige utviklere har laget dem med lignende mål i tankene.

Det som skiller SpectralBlur er dens innsats for å hindre analyse og unngå deteksjon, ved å bruke grantpt for å etablere en pseudoterminal og utføre skallkommandoer mottatt fra C2-serveren.