SpectralBlur Backdoor

Strokovnjaki za kibernetsko varnost so odkrili nova stranska vrata Apple macOS z imenom SpectralBlur. Ta stranska vrata kažejo podobnosti s priznano linijo zlonamerne programske opreme, ki je povezana s severnokorejskimi akterji groženj.

SpectralBlur je dokaj zmogljiva stranska vrata z možnostjo nalaganja in prenosa datotek, izvajanja ukazov lupine, spreminjanja njegove konfiguracije, brisanja datotek, pa tudi preklopa v način mirovanja ali spanja. Posebna značilnost te zlonamerne programske opreme je njena prizadevanja, da bi ovirala analizo in se izognila odkrivanju. To doseže z uporabo funkcije grantpt za vzpostavitev psevdo-terminala, prek katerega izvaja ukaze lupine, prejete s strežnika Command-and-Control (C2).

Podobnosti med SpectralBlur in drugo zlonamerno programsko opremo macOS

Zlonamerna programska oprema SpectralBlur je podobna KANDYKORN (prepoznan tudi kot SockRacket), naprednemu vsadku, ki deluje kot trojanski konj za oddaljeni dostop, zasnovan za prevzem nadzora nad ogroženimi gostitelji. Predvsem se dejavnosti KANDYKORNA križajo z drugo kampanjo, ki jo izvaja podskupina Lazarus BlueNoroff (identificirana tudi kot TA444). Ta kampanja vključuje uvedbo backdoorja, znanega kot RustBucket , in koristnega tovora v pozni fazi, imenovanega ObjCShellz .

V nedavnih opazovanjih je povzročitelj grožnje združil elemente iz teh dveh verig okužb. Natančneje, uporabljajo kapalke RustBucket za dostavo KANDYKORN. Ta konvergenca odpira možnost, da so različni razvijalci izdelali KANDYKORN in SpectralBlur s podobnimi zahtevami v mislih glede na njune funkcionalne podobnosti.

Kibernetski kriminalci se še naprej vse bolj osredotočajo na naprave macOS

Skupine kibernetskega kriminala vse bolj usmerjajo svoja prizadevanja v ciljanje naprav macOS z zlonamerno programsko opremo, kar odraža vse večji trend diverzifikacije njihovih vektorjev napadov za izkoriščanje ranljivosti v Applovem operacijskem sistemu. K temu premiku pozornosti prispeva več dejavnikov:

• Rast tržnega deleža : Ker priljubljenost naprav macOS, kot so prenosniki MacBook in namizni računalniki iMac, še naprej narašča, kiberkriminalci vidijo vse večjo bazo uporabnikov kot privlačno tarčo. Z več posamezniki in podjetji, ki sprejemajo Applove izdelke, potencialni vpliv zlonamerne programske opreme, specifične za macOS, postaja pomembnejši.
• Zaznana varnost : V preteklosti je macOS veljal za bolj varnega kot drugi operacijski sistemi, kot je Windows. Vendar pa je to dojemanje povzročilo občutek samozadovoljstva med nekaterimi uporabniki macOS, zaradi česar so morda lažje tarče. Kibernetski kriminalci izkoriščajo napačno prepričanje, da so naprave Apple imune na zlonamerno programsko opremo, in izkoriščajo morebitne varnostne vrzeli.
• Napredne trajne grožnje (APT) : Nacionalni državni akterji in prefinjene hekerske skupine vedno pogosteje uporabljajo napredne taktike za infiltracijo v okolja macOS. Ti akterji groženj pogosto razvijejo zlonamerno programsko opremo po meri, posebej prilagojeno za macOS, s poudarkom na tehnikah prikritosti, vztrajnosti in izogibanja, da ostanejo neodkriti dalj časa.
• Napadi med platformami : Nekateri kiberkriminalci so sprejeli strategije med platformami in razvili zlonamerno programsko opremo, ki lahko cilja na sisteme macOS in Windows. Ta pristop jim omogoča, da povečajo učinek svojih kampanj z izkoriščanjem ranljivosti v različnih operacijskih sistemih znotraj ciljnega omrežja.
• Ekonomska motivacija : Ker so uporabniki sistema macOS pogosto povezani z višjim socialno-ekonomskim statusom, jih lahko kibernetski kriminalci vidijo kot bolj donosne tarče. Finančne goljufije, napadi z izsiljevalsko programsko opremo in druge oblike kibernetske kriminalitete lahko prinesejo višje donose, če so usmerjene proti posameznikom ali organizacijam, ki uporabljajo naprave Apple.
• Izkoriščanje slabosti Applovega ekosistema : Medsebojno povezana narava Applovega ekosistema, vključno z iCloudom in drugimi storitvami, kibernetskim kriminalcem ponuja priložnosti, da izkoristijo slabosti. Ogrožanje ene naprave lahko vodi do nepooblaščenega dostopa do drugih povezanih naprav in občutljivih informacij.
• Trgovine z aplikacijami in prenosi tretjih oseb : uporabniki, ki prenašajo aplikacije iz nepreverjenih trgovin z aplikacijami ali nepooblaščenih virov, se lahko nenamerno izpostavijo zlonamerni programski opremi. Kibernetski kriminalci zlonamerno programsko opremo pogosto prikrijejo kot zakonite aplikacije in izkoriščajo uporabnike, ki iščejo programsko opremo zunaj Applove uradne App Store.

Da bi preprečili to naraščajočo grožnjo, bi morali uporabniki macOS dati prednost najboljšim varnostnim praksam, kot je posodabljanje operacijskih sistemov in programov, uporaba ugledne varnostne programske opreme, izogibanje sumljivim prenosom in previdnost pred poskusi lažnega predstavljanja. Poleg tega Apple še naprej izboljšuje svoje varnostne funkcije in sodeluje s skupnostjo kibernetske varnosti pri odpravljanju ranljivosti in zaščiti uporabnikov pred razvijajočimi se grožnjami.