Бэкдор SpectralBlur поставляется с разнообразным вредоносным набором инструментов

Исследователи в области кибербезопасности обнаружили новый бэкдор для macOS Apple, известный как SpectralBlur, который совпадает с известной категорией вредоносного ПО, связанной с северокорейскими злоумышленниками. По словам исследователя безопасности Грега Лесневича, SpectralBlur — это бэкдор средней мощности с такими функциями, как загрузка/загрузка файлов, выполнение оболочки, обновление конфигурации, удаление файлов, гибернация и сон, и все это основано на командах сервера управления и контроля.

Это вредоносное ПО имеет сходство с KANDYKORN (также известным как SockRacket), усовершенствованным имплантатом, функционирующим как троян удаленного доступа, который может получить контроль над скомпрометированным хостом. Примечательно, что KANDYKORN сотрудничает с деятельностью подгруппы Lazarus, BlueNoroff (также известной как TA444), что приводит к развертыванию бэкдора RustBucket и полезной нагрузки ObjCShellz на заключительных этапах кампании.

SpectralBlur связан с северокорейским злоумышленником

Недавний мониторинг показал, что злоумышленник объединял компоненты обеих цепочек заражения, используя дропперы RustBucket для доставки KANDYKORN. Эти события подчеркивают растущее внимание северокорейских злоумышленников к macOS, особенно нацеленным на дорогостоящие предприятия в секторах криптовалют и блокчейнов.

Патрик Уордл, другой исследователь безопасности, предоставил дополнительную информацию о работе SpectralBlur, отметив, что двоичный файл Mach-O был загружен в службу сканирования вредоносных программ VirusTotal в августе 2023 года из Колумбии. Функциональное сходство KANDYKORN и SpectralBlur позволяет предположить, что разные разработчики создавали их с одинаковыми целями.

Что отличает SpectralBlur, так это его попытки затруднить анализ и избежать обнаружения, используя грантпт для установки псевдотерминала и выполнения команд оболочки, полученных от сервера C2.