Backdoor SpectralBlur zawiera różnorodny zestaw złośliwych narzędzi
Badacze zajmujący się cyberbezpieczeństwem odkryli nowatorskiego backdoora dla systemu macOS firmy Apple, zidentyfikowanego jako SpectralBlur, co pokrywa się ze znaną kategorią złośliwego oprogramowania powiązaną z północnokoreańskimi ugrupowaniami zagrażającymi. Według badacza bezpieczeństwa Grega Lesnewicha SpectralBlur to backdoor o umiarkowanych możliwościach, oferujący takie funkcje, jak przesyłanie/pobieranie plików, wykonywanie powłoki, aktualizacje konfiguracji, usuwanie plików, hibernacja i uśpienie, a wszystko to w oparciu o polecenia z serwera dowodzenia i kontroli.
Szkodnik ten wykazuje podobieństwa do KANDYKORN (znanego również jako SockRacket), zaawansowanego implantu działającego jako trojan zdalnego dostępu, który może przejąć kontrolę nad zaatakowanym hostem. W szczególności KANDYKORN wpisuje się w działania podgrupy Lazarus, BlueNoroff (znanej również jako TA444), co doprowadziło do wdrożenia backdoora RustBucket i ładunku ObjCShellz w końcowych etapach kampanii.
SpectralBlur powiązany z północnokoreańskim aktorem stwarzającym zagrożenie
Niedawne monitorowanie wskazuje, że ugrupowanie zagrażające łączy komponenty z obu łańcuchów infekcji, wykorzystując droppery RustBucket do dostarczania KANDYKORN. Zmiany te podkreślają coraz większą koncentrację północnokoreańskich ugrupowań zagrażających na systemie macOS, w szczególności atakując podmioty o dużej wartości w sektorach kryptowalut i blockchain.
Patrick Wardle, inny badacz bezpieczeństwa, przedstawił dodatkowy wgląd w działanie SpectralBlur, zauważając, że plik binarny Mach-O został przesłany do usługi skanowania pod kątem złośliwego oprogramowania VirusTotal w sierpniu 2023 r. z Kolumbii. Podobieństwa funkcjonalne pomiędzy KANDYKORN i SpectralBlur sugerują możliwość, że różni programiści stworzyli je z myślą o podobnych celach.
Tym, co wyróżnia SpectralBlur, są wysiłki mające na celu utrudnienie analizy i uniknięcie wykrycia poprzez wykorzystanie grantpt do ustanowienia pseudoterminala i wykonania poleceń powłoki otrzymanych z serwera C2.