TA444 olarak bilinen üretken Kuzey Kore devlet destekli tehdit aktörü, macOS kullanıcılarını hedef alan “SpectralBlur” adlı yeni ve parlak kötü amaçlı yazılımla geri döndü. Bu özel araç, gelişmiş kalıcı tehdit (APT) grubunun sürekli olarak ürettiği bir dizi özel kötü amaçlı yazılım arasında en sonuncusu olup, bu özelliği onu Kuzey Kore’nin sponsor olduğu diğer tehditlerden farklı kılmaktadır.
Proofpoint tehdit araştırmacısı Greg Lesnewich’e göre, TA444 (aka APT38, BlueNoroff, BlackAlicanto, Copericum, Sapphire Sleet ve Stardust Chollima) Ağustos ayında SpectralBlur kötü amaçlı yazılımını piyasaya sürdü. Bu, “orta derecede yetenekli bir arka kapıdır ve sistem tarafından verilen komutlara göre dosya yükleyebilir/indirebilir, bir kabuk çalıştırabilir, yapılandırmasını güncelleyebilir, dosyaları silebilir, hazırda bekletebilir veya uyuyabilir.” [command-and-control server],” diye açıkladı bu hafta kişisel blogundaki bir yazıda.
TA444, tanınmış kuzeni APT Lazarus Group ile sıklıkla örtüşüyor. Örneğin Lesnewich, SpectralBlur kötü amaçlı yazılımının kodunda benzer dizeler içerdiğini belirtti. KandyKorn macOS veri hırsızıKasım ayı başında Lazarus Grubu’nun kripto para borsalarına bağlı blockchain mühendislerini hedef alan kampanyalarında ortaya çıkan bir saldırı. Proofpoint daha sonra bir kimlik avı kampanyası analizi yoluyla KandyKorn’u tekrar TA444’e bağlamayı başardı.
SpectralBlur, daha sonra kullanılmak üzere tasarlanmış en yeni araçtır. Kuzey Koreli ulus devlet saldırganlarının özellikle odak noktası haline gelen macOS kullanıcıları. “TA444 bunlarla hızlı ve öfkeli bir şekilde koşmaya devam ediyor yeni macOS kötü amaçlı yazılım aileleri” diye yazdı Lesnewich.
Proofpoint’ten önceki analiz kötü amaçlı yazılım oluşturulduğunu belirtti – özellikle SpectralBlur ve KandyKorn gibi istismar sonrası arka kapılar biçiminde – TA444’ün gerçekten öne çıktığı nokta, “TA444 operatörlerinin yanında yerleşik veya en azından özel bir kötü amaçlı yazılım geliştirme öğesinin bulunduğunu” öne sürüyor.
