SpectralBlur Backdoor

Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια νέα κερκόπορτα του Apple macOS με το όνομα SpectralBlur. Αυτή η κερκόπορτα παρουσιάζει ομοιότητες με μια αναγνωρισμένη γενεαλογία κακόβουλου λογισμικού που συνδέεται με φορείς απειλών από τη Βόρεια Κορέα.

Το SpectralBlur είναι ένα λογικά ικανό backdoor με δυνατότητα αποστολής και λήψης αρχείων, εκτέλεσης εντολών φλοιού, τροποποίησης της διαμόρφωσής του, διαγραφής αρχείων, καθώς και εισαγωγής σε καταστάσεις αδρανοποίησης ή ύπνου. Το ιδιαίτερο χαρακτηριστικό αυτού του κακόβουλου λογισμικού έγκειται στις προσπάθειές του να εμποδίσει την ανάλυση και να διαφύγει τον εντοπισμό. Αυτό το επιτυγχάνει χρησιμοποιώντας τη συνάρτηση grantpt για τη δημιουργία ενός ψευδοτερματικού, μέσω του οποίου εκτελεί εντολές φλοιού που λαμβάνονται από τον διακομιστή Command-and-Control (C2).

Ομοιότητες μεταξύ του SpectralBlur και άλλων κακόβουλων προγραμμάτων macOS

Το κακόβουλο λογισμικό SpectralBlur παρουσιάζει ομοιότητες με το KANDYKORN (αναγνωρίζεται επίσης ως SockRacket), ένα προηγμένο εμφύτευμα που λειτουργεί ως trojan απομακρυσμένης πρόσβασης που έχει σχεδιαστεί για να αναλαμβάνει τον έλεγχο των παραβιασμένων κεντρικών υπολογιστών. Συγκεκριμένα, οι δραστηριότητες του KANDYKORN διασταυρώνονται με μια άλλη εκστρατεία που διεξάγεται από την υποομάδα Lazarus BlueNoroff (επίσης προσδιορίζεται ως TA444). Αυτή η καμπάνια περιλαμβάνει την ανάπτυξη μιας κερκόπορτας γνωστής ως RustBucket και ενός ωφέλιμου φορτίου τελευταίου σταδίου που αναφέρεται ως ObjCSshellz .

Σε πρόσφατες παρατηρήσεις, ο παράγοντας απειλής συνδύασε στοιχεία από αυτές τις δύο αλυσίδες μόλυνσης. Συγκεκριμένα, χρησιμοποιούν σταγονόμετρο RustBucket για την παράδοση του KANDYKORN. Αυτή η σύγκλιση αυξάνει την πιθανότητα διαφορετικοί προγραμματιστές να έχουν κατασκευάσει το KANDYKORN και το SpectralBlur έχοντας κατά νου παρόμοιες απαιτήσεις, δεδομένων των λειτουργικών ομοιοτήτων τους.

Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να εμφανίζουν αυξανόμενη εστίαση στις συσκευές macOS

Ομάδες κυβερνοεγκληματιών εστιάζουν ολοένα και περισσότερο τις προσπάθειές τους στη στόχευση συσκευών macOS με κακόβουλο λογισμικό, αντικατοπτρίζοντας μια αυξανόμενη τάση στη διαφοροποίηση των φορέων επιθέσεων τους για την εκμετάλλευση ευπαθειών στο λειτουργικό σύστημα της Apple. Διάφοροι παράγοντες συμβάλλουν σε αυτή τη μετατόπιση της εστίασης:

• Αύξηση μεριδίου αγοράς : Καθώς η δημοτικότητα των συσκευών macOS, όπως οι φορητοί υπολογιστές MacBook και οι επιτραπέζιοι υπολογιστές iMac, συνεχίζει να αυξάνεται, οι εγκληματίες του κυβερνοχώρου βλέπουν μια διευρυνόμενη βάση χρηστών ως ελκυστικό στόχο. Καθώς περισσότερα άτομα και επιχειρήσεις υιοθετούν προϊόντα της Apple, ο πιθανός αντίκτυπος του κακόβουλου λογισμικού για το macOS γίνεται πιο σημαντικός.
• Perceived Security : Ιστορικά, το macOS έχει θεωρηθεί πιο ασφαλές από άλλα λειτουργικά συστήματα, όπως τα Windows. Ωστόσο, αυτή η αντίληψη έχει οδηγήσει σε μια αίσθηση εφησυχασμού μεταξύ ορισμένων χρηστών macOS, καθιστώντας τους δυνητικά ευκολότερους στόχους. Οι εγκληματίες του κυβερνοχώρου αξιοποιούν την εσφαλμένη αντίληψη ότι οι συσκευές της Apple είναι απρόσβλητες από κακόβουλο λογισμικό, εκμεταλλευόμενοι τυχόν κενά ασφαλείας που μπορεί να υπάρχουν.
• Προηγμένες επίμονες απειλές (APTs) : Παράγοντες εθνικών κρατών και εξελιγμένες ομάδες hacking χρησιμοποιούν όλο και περισσότερο προηγμένες τακτικές για να διεισδύσουν σε περιβάλλοντα macOS. Αυτοί οι παράγοντες απειλών συχνά αναπτύσσουν προσαρμοσμένο κακόβουλο λογισμικό ειδικά προσαρμοσμένο για macOS, εστιάζοντας σε τεχνικές μυστικότητας, εμμονής και φοροδιαφυγής ώστε να παραμείνουν απαρατήρητοι για εκτεταμένες περιόδους.
• Επιθέσεις μεταξύ πλατφορμών : Ορισμένοι εγκληματίες του κυβερνοχώρου έχουν υιοθετήσει στρατηγικές πολλαπλών πλατφορμών, αναπτύσσοντας κακόβουλο λογισμικό που μπορεί να στοχεύσει τόσο συστήματα macOS όσο και Windows. Αυτή η προσέγγιση τους επιτρέπει να μεγιστοποιήσουν τον αντίκτυπο των καμπανιών τους εκμεταλλευόμενοι ευπάθειες σε διάφορα λειτουργικά συστήματα μέσα σε ένα δίκτυο-στόχο.
• Οικονομικό κίνητρο : Καθώς οι χρήστες macOS συνδέονται συχνά με υψηλότερες κοινωνικοοικονομικές καταστάσεις, οι εγκληματίες του κυβερνοχώρου μπορεί να τους βλέπουν ως πιο επικερδείς στόχους. Οι οικονομικές απάτες, οι επιθέσεις ransomware και άλλες μορφές εγκλήματος στον κυβερνοχώρο μπορούν να αποφέρουν υψηλότερες αποδόσεις όταν απευθύνονται σε άτομα ή οργανισμούς που χρησιμοποιούν συσκευές Apple.
• Εκμετάλλευση των αδυναμιών του οικοσυστήματος της Apple : Η διασυνδεδεμένη φύση του οικοσυστήματος της Apple, συμπεριλαμβανομένου του iCloud και άλλων υπηρεσιών, προσφέρει ευκαιρίες στους εγκληματίες του κυβερνοχώρου να αξιοποιήσουν τις αδυναμίες τους. Η παραβίαση μιας συσκευής μπορεί ενδεχομένως να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε άλλες συνδεδεμένες συσκευές και ευαίσθητες πληροφορίες.
• Καταστήματα εφαρμογών και λήψεις τρίτων μερών : Οι χρήστες που πραγματοποιούν λήψη εφαρμογών από μη επιλεγμένα καταστήματα εφαρμογών ή μη εξουσιοδοτημένες πηγές ενδέχεται να εκτεθούν κατά λάθος σε κακόβουλο λογισμικό. Οι εγκληματίες του κυβερνοχώρου συχνά συγκαλύπτουν το κακόβουλο λογισμικό ως νόμιμες εφαρμογές, εκμεταλλευόμενοι χρήστες που αναζητούν λογισμικό εκτός του επίσημου App Store της Apple.

Για να αντιμετωπιστεί αυτή η αυξανόμενη απειλή, οι χρήστες macOS θα πρέπει να δώσουν προτεραιότητα στις βέλτιστες πρακτικές ασφαλείας, όπως η διατήρηση ενημερωμένων λειτουργικών συστημάτων και προγραμμάτων, η χρήση αξιόπιστου λογισμικού ασφαλείας, η αποφυγή ύποπτων λήψεων και η επαγρύπνηση έναντι απόπειρων phishing. Επιπλέον, η Apple συνεχίζει να βελτιώνει τις δυνατότητες ασφαλείας της και να συνεργάζεται με την κοινότητα της κυβερνοασφάλειας για την αντιμετώπιση των τρωτών σημείων και την προστασία των χρηστών από τις εξελισσόμενες απειλές.