Siber güvenlik araştırmacıları, Apple’ın yeni bir macOS arka kapısını keşfetti. Spektral Bulanıklık Kuzey Koreli tehdit aktörlerine atfedilen bilinen bir kötü amaçlı yazılım ailesiyle örtüşüyor.
“SpectralBlur, sunucudan verilen komutlara göre dosya yükleyebilen/indirebilen, bir kabuk çalıştırabilen, yapılandırmasını güncelleyebilen, dosyaları silebilen, hazırda bekletme moduna geçebilen veya uyku moduna geçebilen orta düzeyde yetenekli bir arka kapıdır. [command-and-control] sunucusu,” güvenlik araştırmacısı Greg Lesnewich söz konusu.
Kötü amaçlı yazılım, güvenliği ihlal edilmiş bir ana bilgisayarın kontrolünü ele geçirebilen uzaktan erişim truva atı olarak işlev gören gelişmiş bir implant olan KANDYKORN (diğer adıyla SockRacket) ile benzerlikler paylaşıyor.
KANDYKORN faaliyetinin aynı zamanda BlueNoroff (diğer adıyla TA444) olarak bilinen Lazarus alt grubu tarafından düzenlenen ve RustBucket olarak adlandırılan bir arka kapının ve ObjCShellz olarak adlandırılan bir sonraki aşama yükünün konuşlandırılmasıyla sonuçlanan başka bir kampanyayla da kesiştiğini belirtmekte fayda var.
Son aylarda tehdit aktörünün bu iki enfeksiyon zincirinin farklı parçalarını birleştirdiği ve KANDYKORN’u teslim etmek için RustBucket damlalıklarından yararlandığı gözlemlendi.
Son bulgular, Kuzey Koreli tehdit aktörlerinin, özellikle kripto para birimi ve blockchain sektörlerindeki yüksek değerli hedeflere sızmak için gözlerini giderek daha fazla macOS’a diktiğinin bir başka işareti.
Lesnewich, “TA444, bu yeni macOS kötü amaçlı yazılım aileleriyle hızlı ve öfkeli bir şekilde çalışmaya devam ediyor” dedi.
Güvenlik araştırmacısı Patrick Wardle şunları paylaştı: ek bilgiler SpectralBlur’un iç işleyişine ilişkin Mach-O ikilisinin şöyle olduğunu söyledi: yüklendi Ağustos 2023’te Kolombiya’dan VirusTotal kötü amaçlı yazılım tarama hizmetine.
KANDYKORN ve SpectralBlur arasındaki işlevsel benzerlikler, bunların aynı gereksinimleri göz önünde bulundurarak farklı geliştiriciler tarafından oluşturulmuş olabileceği olasılığını artırdı.
Kötü amaçlı yazılımı öne çıkaran şey, kullanırken analizi engelleme ve tespitten kaçma girişimleridir. hibe bir sözde terminal kurmak ve C2 sunucusundan alınan kabuk komutlarını yürütmek için.
Açıklama, fidye yazılımları, bilgi hırsızları, uzaktan erişim truva atları ve ulus devlet destekli kötü amaçlı yazılımlar da dahil olmak üzere macOS sistemlerini hedeflemek için tasarlanmış toplam 21 yeni kötü amaçlı yazılım ailesinin 2023 yılında keşfedilmesiyle geldi. 2022’de 13 tanımlandı.
Wardle, “MacOS’un (özellikle kurumsal alanda) devam eden büyümesi ve popülerliğiyle birlikte, 2024 yılı kesinlikle yeni macOS kötü amaçlı yazılımlarını beraberinde getirecek” dedi. kayıt edilmiş.
