SpectralBlur Backdoor wordt geleverd met een gevarieerde kwaadaardige toolkit
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe achterdeur ontdekt voor Apple's macOS, geïdentificeerd als SpectralBlur, die samenvalt met een bekende malwarecategorie die verband houdt met Noord-Koreaanse bedreigingsactoren. Volgens beveiligingsonderzoeker Greg Lesnewich is SpectralBlur een redelijk capabele achterdeur met functionaliteiten zoals het uploaden/downloaden van bestanden, shell-uitvoering, configuratie-updates, het verwijderen van bestanden, slaapstand en slaap, allemaal gebaseerd op opdrachten van de command-and-control-server.
Deze malware vertoont overeenkomsten met KANDYKORN (ook bekend als SockRacket), een geavanceerd implantaat dat functioneert als een trojan voor externe toegang die de controle over een gecompromitteerde host kan overnemen. KANDYKORN sluit zich met name aan bij de activiteiten van de Lazarus-subgroep, BlueNoroff (ook bekend als TA444), wat leidt tot de inzet van de RustBucket-achterdeur en de ObjCSellz-payload in de laatste fase van de campagne.
SpectralBlur gekoppeld aan Noord-Koreaanse bedreigingsacteur
Uit recente monitoring blijkt dat de bedreigingsacteur componenten uit beide infectieketens heeft samengevoegd, waarbij gebruik wordt gemaakt van RustBucket-droppers om KANDYKORN af te leveren. Deze ontwikkelingen benadrukken de toenemende focus van Noord-Koreaanse dreigingsactoren op macOS, met name gericht op hoogwaardige entiteiten binnen de cryptocurrency- en blockchain-sectoren.
Patrick Wardle, een andere beveiligingsonderzoeker, gaf aanvullende inzichten in de werking van SpectralBlur en merkte op dat het Mach-O binaire bestand in augustus 2023 vanuit Colombia naar de VirusTotal-malwarescanservice werd geüpload. De functionele overeenkomsten tussen KANDYKORN en SpectralBlur suggereren de mogelijkheid dat verschillende ontwikkelaars ze hebben gemaakt met vergelijkbare doelstellingen in gedachten.
Wat SpectralBlur onderscheidt, zijn de inspanningen om de analyse te belemmeren en detectie te voorkomen, waarbij Grantpt wordt gebruikt om een pseudo-terminal op te zetten en shell-opdrachten uit te voeren die worden ontvangen van de C2-server.