Tylne drzwi SpectralBlur

Eksperci ds. cyberbezpieczeństwa odkryli nowy backdoor dla systemu Apple macOS o nazwie SpectralBlur. Ten backdoor wykazuje podobieństwa do uznanej linii szkodliwego oprogramowania powiązanej z północnokoreańskimi ugrupowaniami zagrażającymi.

SpectralBlur to dość wydajny backdoor z możliwością przesyłania i pobierania plików, wykonywania poleceń powłoki, modyfikowania konfiguracji, usuwania plików, a także przechodzenia w tryb hibernacji lub uśpienia. Charakterystyczną cechą tego szkodliwego oprogramowania są wysiłki mające na celu utrudnianie analizy i unikanie wykrycia. Osiąga to poprzez wykorzystanie funkcji grantpt do ustanowienia pseudoterminala, za pośrednictwem którego wykonuje polecenia powłoki otrzymane z serwera dowodzenia i kontroli (C2).

Podobieństwa między SpectralBlur a innym złośliwym oprogramowaniem dla systemu macOS

Szkodnik SpectralBlur wykazuje podobieństwo do KANDYKORN (znanego również jako SockRacket), zaawansowanego implantu działającego jako trojan zdalnego dostępu, którego zadaniem jest przejmowanie kontroli nad zainfekowanymi hostami. Warto zauważyć, że działania KANDYKORN krzyżują się z inną kampanią prowadzoną przez podgrupę Lazarus BlueNoroff (oznaczaną również jako TA444). Kampania ta obejmuje wdrożenie backdoora znanego jako RustBucket i ładunku późnego etapu zwanego ObjCShellz .

Z ostatnich obserwacji wynika, że ugrupowanie zagrażające połączyło elementy z tych dwóch łańcuchów infekcji. W szczególności wykorzystują droppery RustBucket do dostarczania KANDYKORN. Ta zbieżność stwarza możliwość, że różni programiści skonstruowali KANDYKORN i SpectralBlur, mając na uwadze podobne wymagania, biorąc pod uwagę ich podobieństwa funkcjonalne.

Cyberprzestępcy w dalszym ciągu coraz bardziej skupiają się na urządzeniach z systemem macOS

Grupy cyberprzestępcze w coraz większym stopniu koncentrują swoje wysiłki na atakowaniu złośliwym oprogramowaniem urządzeń z systemem macOS, co odzwierciedla rosnącą tendencję do dywersyfikacji wektorów ataków w celu wykorzystania luk w zabezpieczeniach systemu operacyjnego Apple. Na tę zmianę punktu ciężkości wpływa kilka czynników:

• Wzrost udziału w rynku : wraz ze wzrostem popularności urządzeń z systemem macOS, takich jak laptopy MacBook i komputery stacjonarne iMac, cyberprzestępcy postrzegają rosnącą bazę użytkowników jako atrakcyjny cel. W miarę jak coraz więcej osób i firm wdraża produkty Apple, potencjalny wpływ złośliwego oprogramowania specyficznego dla systemu macOS staje się coraz bardziej znaczący.
• Postrzegane bezpieczeństwo : historycznie rzecz biorąc, system macOS był uważany za bezpieczniejszy niż inne systemy operacyjne, takie jak Windows. Jednak takie postrzeganie doprowadziło do poczucia samozadowolenia wśród niektórych użytkowników systemu macOS, co czyni ich potencjalnie łatwiejszymi celami. Cyberprzestępcy wykorzystują błędne przekonanie, że urządzenia Apple są odporne na złośliwe oprogramowanie, wykorzystując wszelkie luki w zabezpieczeniach, jakie mogą istnieć.
• Zaawansowane trwałe zagrożenia (APT) : podmioty z państw narodowych i wyrafinowane grupy hakerskie coraz częściej stosują zaawansowane taktyki w celu infiltracji środowisk macOS. Ci cyberprzestępcy często opracowują niestandardowe złośliwe oprogramowanie specjalnie dostosowane do systemu macOS, koncentrując się na technikach ukrywania się, utrzymywania i unikania zagrożeń, aby pozostać niewykrytym przez dłuższy czas.
• Ataki międzyplatformowe : niektórzy cyberprzestępcy przyjęli strategie międzyplatformowe, tworząc złośliwe oprogramowanie, które może atakować zarówno systemy macOS, jak i Windows. Takie podejście pozwala im zmaksymalizować wpływ kampanii poprzez wykorzystanie luk w zabezpieczeniach różnych systemów operacyjnych w sieci docelowej.
• Motywacja ekonomiczna : ponieważ użytkownicy systemu macOS są często kojarzeni z wyższym statusem społeczno-ekonomicznym, cyberprzestępcy mogą postrzegać ich jako bardziej lukratywne cele. Oszustwa finansowe, ataki oprogramowania ransomware i inne formy cyberprzestępczości mogą przynieść większe zyski, jeśli są skierowane do osób lub organizacji korzystających z urządzeń Apple.
• Wykorzystywanie słabych stron ekosystemu Apple : wzajemnie powiązany charakter ekosystemu Apple, w tym iCloud i innych usług, stwarza cyberprzestępcom możliwości wykorzystania słabych punktów. Naruszenie bezpieczeństwa jednego urządzenia może potencjalnie prowadzić do nieautoryzowanego dostępu do innych połączonych urządzeń i poufnych informacji.
• Sklepy z aplikacjami innych firm i pliki do pobrania : użytkownicy pobierający aplikacje z niesprawdzonych sklepów z aplikacjami lub nieautoryzowanych źródeł mogą nieumyślnie narazić się na złośliwe oprogramowanie. Cyberprzestępcy często maskują złośliwe oprogramowanie jako legalne aplikacje, wykorzystując użytkowników poszukujących oprogramowania poza oficjalnym sklepem Apple App Store.

Aby przeciwdziałać temu rosnącemu zagrożeniu, użytkownicy systemu macOS powinni nadać priorytet najlepszym praktykom w zakresie bezpieczeństwa, takim jak aktualizowanie systemów operacyjnych i programów, korzystanie z renomowanego oprogramowania zabezpieczającego, unikanie podejrzanych pobrań i zachowywanie czujności w przypadku prób phishingu. Ponadto Apple stale udoskonala swoje funkcje zabezpieczeń i współpracuje ze społecznością zajmującą się cyberbezpieczeństwem w celu eliminowania luk w zabezpieczeniach i ochrony użytkowników przed ewoluującymi zagrożeniami.