SpectralBlur Backdoor

网络安全专家发现了一个名为 SpectralBlur 的新型 Apple macOS 后门。该后门与公认的与朝鲜威胁行为者相关的恶意软件谱系有相似之处。

SpectralBlur 是一个相当熟练的后门，能够上传和下载文件、执行 shell 命令、修改其配置、删除文件以及进入休眠或睡眠模式。该恶意软件的显着特征在于其努力阻碍分析和逃避检测。它通过使用 grantpt 函数建立一个伪终端来实现这一点，通过该伪终端执行从命令与控制 (C2) 服务器接收到的 shell 命令。

SpectralBlur 与其他 macOS 恶意软件之间的相似之处

SpectralBlur 恶意软件与KANDYKORN （也称为 SockRacket）类似，后者是一种高级植入程序，充当远程访问木马，旨在控制受感染的主机。值得注意的是，KANDYKORN 的活动与Lazarus子组织 BlueNoroff（也称为 TA444）开展的另一项活动有交叉。该活动涉及部署一个名为RustBucket的后门和一个名为ObjCShellz 的后期有效负载。

在最近的观察中，威胁行为者结合了这两个感染链的元素。具体来说，他们使用 RustBucket droppers 来传送 KANDYKORN。鉴于功能上的相似性，这种融合增加了不同开发人员可能在构建 KANDYKORN 和 SpectralBlur 时考虑到类似要求的可能性。

网络犯罪分子继续日益关注 macOS 设备

网络犯罪团伙越来越多地将精力集中在使用恶意软件瞄准 macOS 设备，这反映出利用 Apple 操作系统中的漏洞进行攻击媒介多样化的日益增长的趋势。有几个因素导致了这种焦点的转变：

• 市场份额增长：随着 MacBook 笔记本电脑和 iMac 台式机等 macOS 设备的受欢迎程度持续上升，网络犯罪分子将不断扩大的用户群视为有吸引力的目标。随着越来越多的个人和企业采用 Apple 产品，macOS 特定恶意软件的潜在影响变得更加显着。
• 感知的安全性：从历史上看，macOS 被认为比 Windows 等其他操作系统更安全。然而，这种看法导致一些 macOS 用户产生了一种自满感，使他们成为更容易成为攻击目标的目标。网络犯罪分子利用 Apple 设备不受恶意软件影响的误解，利用任何可能存在的安全漏洞。
• 高级持续威胁 (APT) ：国家行为者和复杂的黑客组织越来越多地采用先进策略来渗透 macOS 环境。这些威胁行为者经常开发专门针对 macOS 的定制恶意软件，专注于隐形、持久性和规避技术，以长时间保持不被发现。
• 跨平台攻击：一些网络犯罪分子采用了跨平台策略，开发了可以针对 macOS 和 Windows 系统的恶意软件。这种方法使他们能够通过利用目标网络内各种操作系统的漏洞来最大化其活动的影响。
• 经济动机：由于 macOS 用户通常具有较高的社会经济地位，网络犯罪分子可能会将他们视为更有利可图的目标。当针对使用 Apple 设备的个人或组织时，金融欺诈、勒索软件攻击和其他形式的网络犯罪可以产生更高的回报。
• 利用 Apple 生态系统的弱点：Apple 生态系统（包括 iCloud 和其他服务）的相互关联性，为网络犯罪分子利用弱点提供了机会。入侵一台设备可能会导致对其他链接设备和敏感信息的未经授权的访问。
• 第三方应用程序商店和下载：从未经检查的应用程序商店或未经授权的来源下载应用程序的用户可能会无意中暴露于恶意软件。网络犯罪分子经常将恶意软件伪装成合法应用程序，利用在 Apple 官方 App Store 之外寻找软件的用户。

为了应对这种日益严重的威胁，macOS 用户应优先考虑安全最佳实践，例如保持操作系统和程序更新、使用信誉良好的安全软件、避免可疑下载以及对网络钓鱼尝试保持警惕。此外，Apple 继续增强其安全功能，并与网络安全社区合作，解决漏洞并保护用户免受不断变化的威胁。