SpectralBlur Backdoor kommer med en varierad skadlig verktygslåda

Forskare inom cybersäkerhet har avslöjat en ny bakdörr för Apples macOS, identifierad som SpectralBlur, som sammanfaller med en känd kategori av skadlig programvara associerad med nordkoreanska hotaktörer. Enligt säkerhetsforskaren Greg Lesnewich är SpectralBlur en måttligt kapabel bakdörr med funktioner som filuppladdning/nedladdning, skalexekvering, konfigurationsuppdateringar, filradering, viloläge och viloläge, allt baserat på kommandon från kommando-och-kontrollservern.

Denna skadliga programvara uppvisar likheter med KANDYKORN (även känd som SockRacket), ett avancerat implantat som fungerar som en fjärråtkomsttrojan som kan ta kontroll över en komprometterad värd. Noterbart är KANDYKORN i linje med aktiviteterna i Lazarus-undergruppen, BlueNoroff (alias TA444), vilket leder till utplaceringen av RustBucket-bakdörren och ObjCShellz-nyttolasten i slutskedet av kampanjen.

SpectralBlur kopplad till nordkoreansk hotskådespelare

Den senaste tidens övervakning indikerar att hotaktören har slagit samman komponenter från båda infektionskedjorna, med hjälp av RustBucket droppers för att leverera KANDYKORN. Denna utveckling framhäver det ökande fokuset från nordkoreanska hotaktörer på macOS, särskilt inriktat på högvärdiga enheter inom kryptovaluta- och blockkedjesektorerna.

Patrick Wardle, en annan säkerhetsforskare, gav ytterligare insikter om SpectralBlurs funktion och noterade att Mach-O-binären laddades upp till VirusTotals skanningstjänst för skadlig programvara i augusti 2023 från Colombia. De funktionella likheterna mellan KANDYKORN och SpectralBlur tyder på möjligheten att olika utvecklare skapade dem med liknande mål i åtanke.

Det som utmärker SpectralBlur är dess ansträngningar att hindra analys och undvika upptäckt, genom att använda grantpt för att etablera en pseudoterminal och exekvera skalkommandon som tas emot från C2-servern.