SpectralBlur bakdør

Eksperter på nettsikkerhet har avdekket en ny Apple macOS-bakdør kalt SpectralBlur. Denne bakdøren viser likheter med en anerkjent avstamning av skadelig programvare knyttet til nordkoreanske trusselaktører.

SpectralBlur er en rimelig dyktig bakdør med muligheten til å laste opp og laste ned filer, utføre skallkommandoer, endre konfigurasjonen, slette filer, samt gå inn i dvale- eller hvilemodus. Det særegne ved denne skadelige programvaren ligger i dens innsats for å hindre analyse og unnvike deteksjon. Den oppnår dette ved å bruke grantpt-funksjonen til å etablere en pseudoterminal, gjennom hvilken den utfører skallkommandoer mottatt fra Command-and-Control (C2)-serveren.

Likheter mellom SpectralBlur og annen macOS-malware

SpectralBlur malware viser likheter med KANDYKORN (også anerkjent som SockRacket), et avansert implantat som fungerer som en fjerntilgangstrojaner designet for å ta kontroll over kompromitterte verter. Spesielt krysser KANDYKORNs aktiviteter en annen kampanje utført av Lazarus -undergruppen BlueNoroff (også identifisert som TA444). Denne kampanjen innebærer utplassering av en bakdør kjent som RustBucket og en nyttelast i sent stadium referert til som ObjCShellz .

I nyere observasjoner har trusselaktøren kombinert elementer fra disse to smittekjedene. Spesifikt bruker de RustBucket droppere for å levere KANDYKORN. Denne konvergensen øker muligheten for at forskjellige utviklere kan ha konstruert KANDYKORN og SpectralBlur med lignende krav i tankene, gitt deres funksjonelle likheter.

Nettkriminelle fortsetter å vise økende fokus på macOS-enheter

Nettkriminelle grupper fokuserer i økende grad sin innsats på å målrette macOS-enheter med skadelig programvare, noe som gjenspeiler en økende trend i å diversifisere angrepsvektorene sine for å utnytte sårbarheter i Apples operativsystem. Flere faktorer bidrar til dette fokusskiftet:

• Vekst i markedsandeler : Ettersom populariteten til macOS-enheter, som bærbare MacBook- og iMac-maskiner, fortsetter å øke, ser nettkriminelle en voksende brukerbase som et attraktivt mål. Med flere enkeltpersoner og bedrifter som tar i bruk Apple-produkter, blir den potensielle effekten av macOS-spesifikk skadelig programvare mer betydelig.
• Opplevd sikkerhet : Historisk sett har macOS blitt ansett som sikrere enn andre operativsystemer, for eksempel Windows. Imidlertid har denne oppfatningen ført til en følelse av selvtilfredshet blant noen macOS-brukere, noe som gjør dem potensielt enklere mål. Nettkriminelle utnytter misforståelsen om at Apple-enheter er immune mot skadelig programvare, og utnytter eventuelle sikkerhetshull som kan eksistere.
• Advanced Persistent Threats (APTs) : Nasjonalstatsaktører og sofistikerte hackergrupper bruker i økende grad avanserte taktikker for å infiltrere macOS-miljøer. Disse trusselaktørene utvikler ofte tilpasset skadelig programvare spesielt skreddersydd for macOS, med fokus på stealth, utholdenhet og unnvikelsesteknikker for å forbli uoppdaget i lengre perioder.
• Angrep på tvers av plattformer : Noen nettkriminelle har tatt i bruk strategier på tvers av plattformer, og utvikler skadelig programvare som kan målrettes mot både macOS- og Windows-systemer. Denne tilnærmingen lar dem maksimere effekten av kampanjene sine ved å utnytte sårbarheter på tvers av ulike operativsystemer innenfor et målnettverk.
• Økonomisk motivasjon : Siden macOS-brukere ofte assosieres med høyere sosioøkonomiske statuser, kan nettkriminelle se dem som mer lukrative mål. Økonomisk svindel, løsepengevareangrep og andre former for nettkriminalitet kan gi høyere avkastning når de rettes mot enkeltpersoner eller organisasjoner som bruker Apple-enheter.
• Utnyttelse av svakheter i Apples økosystem : Den sammenkoblede naturen til Apples økosystem, inkludert iCloud og andre tjenester, gir muligheter for nettkriminelle til å utnytte svakheter. Å kompromittere én enhet kan potensielt føre til uautorisert tilgang til andre koblede enheter og sensitiv informasjon.
• Tredjeparts appbutikker og nedlastinger : Brukere som laster ned apper fra ukontrollerte appbutikker eller uautoriserte kilder, kan utilsiktet utsette seg for skadelig programvare. Nettkriminelle skjuler ofte ondsinnet programvare som legitime applikasjoner, og utnytter brukere som søker etter programvare utenfor Apples offisielle App Store.

For å motvirke denne økende trusselen, bør macOS-brukere prioritere beste praksis for sikkerhet, for eksempel å holde operativsystemene og programmene oppdatert, bruke anerkjent sikkerhetsprogramvare, unngå mistenkelige nedlastinger og være på vakt mot phishing-forsøk. I tillegg fortsetter Apple å forbedre sikkerhetsfunksjonene sine og samarbeide med nettsikkerhetsfellesskapet for å adressere sårbarheter og beskytte brukere mot nye trusler.