Pintu Belakang SpectralBlur

Pakar keselamatan siber telah menemui pintu belakang Apple macOS baru bernama SpectralBlur. Pintu belakang ini mempamerkan persamaan dengan keturunan perisian hasad yang diiktiraf dikaitkan dengan pelakon ancaman Korea Utara.

SpectralBlur ialah pintu belakang yang cukup mahir dengan keupayaan untuk memuat naik dan memuat turun fail, melaksanakan perintah shell, mengubah suai konfigurasinya, memadam fail, serta memasuki mod hibernasi atau tidur. Ciri tersendiri perisian hasad ini terletak pada usahanya untuk menghalang analisis dan mengelakkan pengesanan. Ia mencapai ini dengan menggunakan fungsi grantpt untuk mewujudkan pseudo-terminal, yang melaluinya ia melaksanakan perintah shell yang diterima daripada pelayan Command-and-Control (C2).

Persamaan Antara SpectralBlur dan Malware macOS Lain

Perisian hasad SpectralBlur mempamerkan persamaan dengan KANDYKORN (juga dikenali sebagai SockRacket), implan lanjutan yang berfungsi sebagai trojan capaian jauh yang direka untuk mengambil alih kawalan ke atas hos yang terjejas. Terutama, aktiviti KANDYKORN bersilang dengan kempen lain yang dijalankan oleh subkumpulan Lazarus BlueNoroff (juga dikenal pasti sebagai TA444). Kempen ini melibatkan penggunaan pintu belakang yang dikenali sebagai RustBucket dan muatan peringkat lewat yang dirujuk sebagai ObjCShellz .

Dalam pemerhatian baru-baru ini, aktor ancaman telah menggabungkan unsur-unsur daripada kedua-dua rantai jangkitan ini. Khususnya, mereka menggunakan penitis RustBucket untuk menghantar KANDYKORN. Konvergensi ini menimbulkan kemungkinan bahawa pembangun yang berbeza mungkin telah membina KANDYKORN dan SpectralBlur dengan keperluan yang sama dalam fikiran, memandangkan persamaan fungsinya.

Penjenayah Siber Terus Memaparkan Fokus yang Berkembang pada Peranti macOS

Kumpulan penjenayah siber semakin menumpukan usaha mereka untuk menyasarkan peranti macOS dengan perisian hasad, mencerminkan trend yang semakin meningkat dalam mempelbagaikan vektor serangan mereka untuk mengeksploitasi kelemahan dalam sistem pengendalian Apple. Beberapa faktor menyumbang kepada peralihan fokus ini:

• Pertumbuhan Syer Pasaran : Memandangkan populariti peranti macOS, seperti komputer riba MacBook dan desktop iMac, terus meningkat, penjenayah siber melihat pangkalan pengguna yang berkembang sebagai sasaran yang menarik. Dengan lebih ramai individu dan perniagaan menggunakan produk Apple, potensi kesan perisian hasad khusus macOS menjadi lebih ketara.
• Perceived Security : Dari segi sejarah, macOS telah dianggap lebih selamat daripada sistem pengendalian lain, seperti Windows. Walau bagaimanapun, persepsi ini telah membawa kepada rasa puas hati di kalangan sesetengah pengguna macOS, menjadikan mereka berpotensi menjadi sasaran yang lebih mudah. Penjenayah siber memanfaatkan salah tanggapan bahawa peranti Apple kebal terhadap perisian hasad, mengeksploitasi sebarang jurang keselamatan yang mungkin wujud.
• Ancaman Berterusan Lanjutan (APT) : Pelakon negara bangsa dan kumpulan penggodaman yang canggih semakin menggunakan taktik lanjutan untuk menyusup ke persekitaran macOS. Aktor ancaman ini sering membangunkan perisian hasad tersuai yang disesuaikan khusus untuk macOS, memfokuskan pada teknik siluman, ketekunan dan pengelakan untuk kekal tidak dapat dikesan untuk tempoh yang lama.
• Serangan Merentas Platform : Sesetengah penjenayah siber telah menggunakan strategi merentas platform, membangunkan perisian hasad yang boleh menyasarkan kedua-dua sistem macOS dan Windows. Pendekatan ini membolehkan mereka memaksimumkan kesan kempen mereka dengan mengeksploitasi kelemahan merentas pelbagai sistem pengendalian dalam rangkaian sasaran.
• Motivasi Ekonomi : Memandangkan pengguna macOS sering dikaitkan dengan status sosio-ekonomi yang lebih tinggi, penjenayah siber mungkin melihat mereka sebagai sasaran yang lebih menguntungkan. Penipuan kewangan, serangan perisian tebusan dan lain-lain bentuk jenayah siber boleh menghasilkan pulangan yang lebih tinggi apabila ditujukan kepada individu atau organisasi yang menggunakan peranti Apple.
• Memanfaatkan Kelemahan Ekosistem Apple : Sifat saling berkaitan ekosistem Apple, termasuk iCloud dan perkhidmatan lain, memberikan peluang kepada penjenayah siber untuk memanfaatkan kelemahan. Menjejas satu peranti berpotensi membawa kepada akses tanpa kebenaran kepada peranti terpaut lain dan maklumat sensitif.
• Kedai Apl dan Muat Turun Pihak Ketiga : Pengguna yang memuat turun aplikasi daripada gedung aplikasi yang tidak disemak atau sumber yang tidak dibenarkan mungkin secara tidak sengaja mendedahkan diri mereka kepada perisian hasad. Penjenayah siber sering menyamar perisian berniat jahat sebagai aplikasi yang sah, mengeksploitasi pengguna yang mencari perisian di luar App Store rasmi Apple.

Untuk mengatasi ancaman yang semakin meningkat ini, pengguna macOS harus mengutamakan amalan terbaik keselamatan, seperti mengekalkan sistem pengendalian dan program mereka dikemas kini, menggunakan perisian keselamatan yang bereputasi, mengelakkan muat turun yang mencurigakan dan kekal berwaspada terhadap percubaan pancingan data. Selain itu, Apple terus meningkatkan ciri keselamatannya dan bekerjasama dengan komuniti keselamatan siber untuk menangani kelemahan dan melindungi pengguna daripada ancaman yang berkembang.