Бекдор SpectralBlur

Експерти з кібербезпеки виявили новий бекдор Apple macOS під назвою SpectralBlur. Цей бекдор демонструє схожість із визнаним походженням зловмисного програмного забезпечення, пов’язаного з північнокорейськими загрозливими суб’єктами.

SpectralBlur є достатньо досвідченим бекдором із можливістю завантажувати та завантажувати файли, виконувати команди оболонки, змінювати конфігурацію, стирати файли, а також переходити в сплячий режим або сплячий режим. Відмінною рисою цього шкідливого програмного забезпечення є його намагання перешкоджати аналізу та уникати виявлення. Це досягається за допомогою функції grantpt для встановлення псевдотерміналу, через який він виконує команди оболонки, отримані від сервера командування та керування (C2).

Подібності між SpectralBlur та іншими шкідливими програмами для macOS

Зловмисне програмне забезпечення SpectralBlur схоже на KANDYKORN (також відомий як SockRacket), вдосконалений імплантат, що функціонує як троян віддаленого доступу, призначений для контролю над скомпрометованими хостами. Примітно, що діяльність KANDYKORN перетинається з іншою кампанією, яку проводить підгрупа Lazarus BlueNoroff (також ідентифікована як TA444). Ця кампанія передбачає розгортання бекдору, відомого як RustBucket , і корисного навантаження на останньому етапі під назвою ObjCShellz .

За останніми спостереженнями, загрозливий суб’єкт об’єднав елементи з цих двох ланцюжків зараження. Зокрема, вони використовують крапельниці RustBucket для доставки KANDYKORN. Ця конвергенція підвищує ймовірність того, що різні розробники могли створювати KANDYKORN і SpectralBlur з урахуванням подібних вимог, враховуючи їх функціональну подібність.

Кіберзлочинці продовжують приділяти все більше уваги пристроям macOS

Групи кіберзлочинців все більше зосереджують свої зусилля на націленні на пристрої macOS за допомогою зловмисного програмного забезпечення, що відображає зростаючу тенденцію до диверсифікації векторів атак для використання вразливостей в операційній системі Apple. Кілька факторів сприяють такому зсуву фокусу:

• Зростання частки ринку : Оскільки популярність пристроїв macOS, таких як ноутбуки MacBook і настільні комп’ютери iMac, продовжує зростати, кіберзлочинці бачать розширення бази користувачів як привабливу ціль. Оскільки все більше людей і компаній використовують продукти Apple, потенційний вплив зловмисного програмного забезпечення для macOS стає більш значним.
• Передбачувана безпека : Історично macOS вважалася більш безпечною, ніж інші операційні системи, такі як Windows. Однак це сприйняття призвело до почуття самовдоволення серед деяких користувачів macOS, що зробило їх потенційно легшими мішенями. Кіберзлочинці використовують помилкове уявлення про те, що пристрої Apple захищені від шкідливих програм, використовуючи будь-які прогалини в безпеці, які можуть існувати.
• Просунуті стійкі загрози (APT) : суб’єкти національних держав і складні хакерські групи все частіше використовують передові тактики для проникнення в середовища macOS. Ці загрозливі суб’єкти часто розробляють спеціальне зловмисне програмне забезпечення, спеціально розроблене для macOS, зосереджуючись на методах скритності, стійкості та ухилення, щоб залишатися непоміченими протягом тривалого часу.
• Міжплатформні атаки : деякі кіберзлочинці використовують кросплатформні стратегії, розробляючи зловмисне програмне забезпечення, яке може націлюватися як на системи macOS, так і на Windows. Цей підхід дозволяє їм максимізувати вплив своїх кампаній, використовуючи вразливості в різних операційних системах у цільовій мережі.
• Економічна мотивація : оскільки користувачі macOS часто асоціюються з вищим соціально-економічним статусом, кіберзлочинці можуть вважати їх більш прибутковими цілями. Фінансове шахрайство, атаки програм-вимагачів та інші форми кіберзлочинів можуть принести більший прибуток, якщо вони спрямовані проти окремих осіб або організацій, які використовують пристрої Apple.
• Використання слабких сторін екосистеми Apple : взаємопов’язаний характер екосистеми Apple, включаючи iCloud та інші служби, надає кіберзлочинцям можливості для використання слабких місць. Злама одного пристрою потенційно може призвести до несанкціонованого доступу до інших пов’язаних пристроїв і конфіденційної інформації.
• Сторонні магазини додатків і завантаження : користувачі, які завантажують додатки з неперевірених магазинів додатків або неавторизованих джерел, можуть ненавмисно піддати себе зловмисному програмному забезпеченню. Кіберзлочинці часто маскують зловмисне програмне забезпечення під законні програми, використовуючи користувачів, які шукають програмне забезпечення за межами офіційного магазину додатків Apple.

Щоб протистояти цій зростаючій загрозі, користувачі macOS повинні надавати пріоритет найкращим методам безпеки, таким як оновлення операційних систем і програм, використання надійного програмного забезпечення безпеки, уникнення підозрілих завантажень і пильність щодо спроб фішингу. Крім того, Apple продовжує покращувати свої функції безпеки та співпрацює зі спільнотою кібербезпеки, щоб усунути вразливості та захистити користувачів від нових загроз.