SpectralBlur Backdoor

Natuklasan ng mga eksperto sa cybersecurity ang isang nobelang Apple macOS backdoor na pinangalanang SpectralBlur. Ang backdoor na ito ay nagpapakita ng mga pagkakatulad sa isang kinikilalang linya ng malware na naka-link sa mga aktor ng pagbabanta ng North Korea.

Ang SpectralBlur ay isang makatwirang mahusay na backdoor na may kakayahang mag-upload at mag-download ng mga file, magsagawa ng mga shell command, baguhin ang configuration nito, burahin ang mga file, pati na rin ang pagpasok ng hibernation o sleep mode. Ang natatanging tampok ng malware na ito ay nakasalalay sa mga pagsisikap nitong hadlangan ang pagsusuri at iwasan ang pagtuklas. Ito ay nakakamit sa pamamagitan ng paggamit ng grantpt function upang magtatag ng isang pseudo-terminal, kung saan ito ay nagpapatupad ng mga shell command na natanggap mula sa Command-and-Control (C2) server.

Pagkakatulad sa pagitan ng SpectralBlur at Iba pang macOS Malware

Ang SpectralBlur malware ay nagpapakita ng mga pagkakahawig sa KANDYKORN (kinikilala rin bilang SockRacket), isang advanced na implant na gumagana bilang remote access trojan na idinisenyo upang kunin ang kontrol sa mga nakompromisong host. Kapansin-pansin, ang mga aktibidad ng KANDYKORN ay sumasalubong sa isa pang kampanyang isinagawa ng Lazarus sub-group na BlueNoroff (nakilala rin bilang TA444). Kasama sa campaign na ito ang pag-deploy ng backdoor na kilala bilang RustBucket at late-stage payload na tinutukoy bilang ObjCShellz .

Sa kamakailang mga obserbasyon, pinagsama ng aktor ng banta ang mga elemento mula sa dalawang chain ng impeksyon na ito. Sa partikular, gumagamit sila ng mga RustBucket dropper para maghatid ng KANDYKORN. Ang convergence na ito ay nagpapataas ng posibilidad na ang iba't ibang developer ay maaaring gumawa ng KANDYKORN at SpectralBlur na may parehong mga kinakailangan sa isip, dahil sa kanilang mga functional na pagkakatulad.

Ang mga Cybercriminal ay Patuloy na Nagpapakita ng Lumalagong Pokus sa Mga macOS Device

Ang mga cybercriminal group ay lalong tumutuon sa kanilang mga pagsisikap sa pag-target sa mga macOS device na may malware, na nagpapakita ng lumalagong trend sa pag-iba-iba ng kanilang mga attack vector upang pagsamantalahan ang mga kahinaan sa operating system ng Apple. Maraming salik ang nag-aambag sa pagbabagong ito ng pokus:

• Paglago ng Market Share : Habang patuloy na tumataas ang kasikatan ng mga macOS device, gaya ng mga MacBook laptop at iMac desktop, nakikita ng mga cybercriminal ang lumalawak na user base bilang isang kaakit-akit na target. Sa mas maraming indibidwal at negosyo na gumagamit ng mga produkto ng Apple, nagiging mas makabuluhan ang potensyal na epekto ng malware na partikular sa macOS.
• Pinaghihinalaang Seguridad : Sa kasaysayan, ang macOS ay itinuturing na mas ligtas kaysa sa iba pang mga operating system, gaya ng Windows. Gayunpaman, ang pananaw na ito ay humantong sa isang pakiramdam ng kasiyahan sa ilang mga gumagamit ng macOS, na ginagawa silang potensyal na mas madaling mga target. Ginagamit ng mga cybercriminal ang maling kuru-kuro na ang mga Apple device ay immune sa malware, na sinasamantala ang anumang mga puwang sa seguridad na maaaring umiiral.
• Advanced Persistent Threats (APTs) : Ang mga aktor ng bansang estado at mga sopistikadong grupo sa pag-hack ay lalong gumagamit ng mga advanced na taktika upang makalusot sa mga kapaligiran ng macOS. Ang mga banta na aktor na ito ay kadalasang nagkakaroon ng custom na malware na partikular na iniakma para sa macOS, na tumutuon sa stealth, persistence, at mga diskarte sa pag-iwas upang manatiling hindi natukoy sa loob ng mahabang panahon.
• Cross-Platform Attack : Ang ilang cybercriminal ay nagpatupad ng mga cross-platform na diskarte, na bumubuo ng malware na maaaring mag-target ng parehong macOS at Windows system. Ang diskarte na ito ay nagbibigay-daan sa kanila na i-maximize ang epekto ng kanilang mga kampanya sa pamamagitan ng pagsasamantala sa mga kahinaan sa iba't ibang mga operating system sa loob ng isang target na network.
• Pang-ekonomiyang Pagganyak : Dahil ang mga gumagamit ng macOS ay madalas na nauugnay sa mas matataas na socio-economic na katayuan, maaaring makita ng mga cybercriminal ang mga ito bilang mas kumikitang mga target. Ang mga pandaraya sa pananalapi, pag-atake ng ransomware at iba pang mga anyo ng cybercrime ay maaaring magbunga ng mas mataas na kita kapag nakadirekta sa mga indibidwal o organisasyong gumagamit ng mga Apple device.
• Pagsasamantala sa Mga Kahinaan ng Apple Ecosystem : Ang magkakaugnay na katangian ng ecosystem ng Apple, kabilang ang iCloud at iba pang mga serbisyo, ay nagbibigay ng mga pagkakataon para sa mga cybercriminal na gamitin ang mga kahinaan. Ang pagkompromiso sa isang device ay maaaring humantong sa hindi awtorisadong pag-access sa iba pang naka-link na device at sensitibong impormasyon.
• Mga Third-Party na App Store at Download : Ang mga user na nagda-download ng mga application mula sa mga hindi na-check na app store o hindi awtorisadong pinagmulan ay maaaring hindi sinasadyang malantad ang kanilang mga sarili sa malware. Ang mga cybercriminal ay kadalasang nagkukunwari ng malisyosong software bilang mga lehitimong application, na sinasamantala ang mga user na naghahanap ng software sa labas ng opisyal na App Store ng Apple.

Upang malabanan ang tumataas na banta na ito, dapat unahin ng mga user ng macOS ang pinakamahuhusay na kagawian sa seguridad, gaya ng pagpapanatili ng kanilang mga operating system at program na na-update, paggamit ng mapagkakatiwalaang software ng seguridad, pag-iwas sa mga kahina-hinalang pag-download at pananatiling mapagbantay laban sa mga pagtatangka sa phishing. Bukod pa rito, patuloy na pinapahusay ng Apple ang mga tampok na panseguridad nito at nakikipagtulungan sa komunidad ng cybersecurity upang matugunan ang mga kahinaan at protektahan ang mga user mula sa mga umuusbong na banta.