打开网易新闻 查看精彩图片

近日,安全研究员 Greg Lesnewich 发现了一个名为 SpectralBlur 的后门,该后门针对的是 Apple macOS。

该后门与恶意软件家族 KANDYKORN(又名 SockRacket)有相似之处,后者归因于与朝鲜有关的 Lazarus 子组织 BlueNoroff(又名 TA444)。

KandyKorn 是一种先进的植入物,具有多种监控、交互和避免检测的功能。它利用反射加载,这是一种可以绕过检测的直接内存执行形式。

SpectralBlur 不是复杂的恶意软件,它支持普通的后门功能,包括根据 C2 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或休眠。

TA444 在这些新的 MacOS 恶意软件家族中持续运行,通过寻找类似的字符串,安全研究人员将 SpectralBlur 和 KandyKorn 联系起来,在出现更多样本后,进一步与 TA444 联系起来。

最终,网络钓鱼活动袭击了人们的可见度,导致 KandyKorn 瘫痪。最新发现证实了与朝鲜有关的威胁者对开发 macOS 恶意软件以用于有针对性的攻击的极大兴趣。

2023 年 11 月,Jamf 威胁实验室的研究人员发现了一种名为 ObjCShellz 的新 macOS 恶意软件菌株,并将其归因于与朝鲜有关的 APT BlueNoroff。

专家们注意到 ObjCShellz 恶意软件与 BlueNoroff APT 组织相关的 RustBucket 恶意软件活动有相似之处。2023 年 7 月,Elastic Security Labs 的研究人员发现了 RustBucket Apple macOS 恶意软件的新变种。今年 4 月,安全公司 Jamf 观察到与朝鲜有关的 BlueNoroff APT 组织使用了一种名为 RustBucket 的新 macOS 恶意软件。

参考及来源:https://securityaffairs.com/157010/apt/macos-backdoor-spectralblur-north-korea.html