SpectralBlur Backdoor vem com um kit de ferramentas malicioso variado
Pesquisadores em segurança cibernética descobriram um novo backdoor para o macOS da Apple, identificado como SpectralBlur, que coincide com uma categoria de malware conhecida associada a atores de ameaças norte-coreanos. De acordo com o pesquisador de segurança Greg Lesnewich, SpectralBlur é um backdoor moderadamente capaz com funcionalidades como upload/download de arquivos, execução de shell, atualizações de configuração, exclusão de arquivos, hibernação e suspensão, tudo baseado em comandos do servidor de comando e controle.
Este malware apresenta semelhanças com o KANDYKORN (também conhecido como SockRacket), um implante avançado que funciona como um trojan de acesso remoto que pode assumir o controle de um host comprometido. Notavelmente, KANDYKORN se alinha com as atividades do subgrupo Lazarus, BlueNoroff (também conhecido como TA444), levando à implantação do backdoor RustBucket e da carga ObjCShellz nos estágios finais da campanha.
SpectralBlur vinculado ao ator de ameaça norte-coreano
O monitoramento recente indica que o agente da ameaça tem mesclado componentes de ambas as cadeias de infecção, utilizando conta-gotas RustBucket para entregar KANDYKORN. Esses desenvolvimentos destacam o foco crescente dos atores de ameaças norte-coreanos no macOS, visando particularmente entidades de alto valor nos setores de criptomoedas e blockchain.
Patrick Wardle, outro pesquisador de segurança, forneceu insights adicionais sobre o funcionamento do SpectralBlur, observando que o binário Mach-O foi carregado no serviço de verificação de malware VirusTotal em agosto de 2023 na Colômbia. As semelhanças funcionais entre KANDYKORN e SpectralBlur sugerem a possibilidade de diferentes desenvolvedores os terem criado com objetivos semelhantes em mente.
O que distingue o SpectralBlur são seus esforços para impedir a análise e evitar a detecção, utilizando grantpt para estabelecer um pseudoterminal e executar comandos shell recebidos do servidor C2.