SpectralBlur Backdoor

網路安全專家發現了一個名為 SpectralBlur 的新型 Apple macOS 後門。該後門與公認的與北韓威脅行為者相關的惡意軟體譜係有相似之處。

SpectralBlur 是一個相當熟練的後門，能夠上傳和下載檔案、執行 shell 命令、修改其配置、刪除檔案以及進入休眠或睡眠模式。該惡意軟體的顯著特徵在於其努力阻礙分析和逃避檢測。它透過使用 grantpt 函數建立一個偽終端來實現這一點，透過該偽終端執行從命令與控制 (C2) 伺服器接收的 shell 命令。

SpectralBlur 與其他 macOS 惡意軟體之間的相似之處

SpectralBlur 惡意軟體與KANDYKORN （也稱為 SockRacket）類似，後者是一種高級植入程序，可作為遠端存取木馬，旨在控制受感染的主機。值得注意的是，KANDYKORN 的活動與Lazarus子組織 BlueNoroff（也稱為 TA444）所進行的另一項活動有交叉。該活動涉及部署一個名為RustBucket的後門和一個名為ObjCShellz 的後期有效負載。

在最近的觀察中，威脅行為者結合了這兩個感染鏈的元素。具體來說，他們使用 RustBucket droppers 來傳送 KANDYKORN。鑑於功能上的相似性，這種融合增加了不同開發人員可能在建構 KANDYKORN 和 SpectralBlur 時考慮到類似要求的可能性。

網路犯罪分子繼續日益關注 macOS 設備

網路犯罪集團越來越多地將精力集中在使用惡意軟體瞄準 macOS 設備，這反映出利用 Apple 作業系統中的漏洞進行攻擊向量多樣化的日益增長的趨勢。有幾個因素導致了這種焦點的轉變：

• 市場份額成長：隨著 MacBook 筆記型電腦和 iMac 桌上型電腦等 macOS 設備的受歡迎程度持續上升，網路犯罪分子將不斷擴大的用戶群視為有吸引力的目標。隨著越來越多的個人和企業採用 Apple 產品，macOS 特定惡意軟體的潛在影響變得更加顯著。
• 感知的安全性：從歷史上看，macOS 被認為比其他作業系統（例如 Windows）更安全。然而，這種看法導致一些 macOS 用戶產生了一種自滿感，使他們更容易成為攻擊目標。網路犯罪分子利用 Apple 裝置不受惡意軟體影響的誤解，利用任何可能的安全漏洞。
• 進階持續性威脅 (APT) ：國家行為者和複雜的駭客組織越來越多地採用先進策略來滲透 macOS 環境。這些威脅行為者經常開發專門針對 macOS 的客製化惡意軟體，專注於隱形、持久性和規避技術，以長時間保持不被發現。
• 跨平台攻擊：一些網路犯罪分子採用了跨平台策略，開發了可以針對 macOS 和 Windows 系統的惡意軟體。這種方法使他們能夠透過利用目標網路內各種作業系統的漏洞來最大化其活動的影響。
• 經濟動機：由於 macOS 使用者通常具有較高的社會經濟地位，網路犯罪分子可能會將他們視為更有利可圖的目標。當針對使用 Apple 裝置的個人或組織時，金融詐欺、勒索軟體攻擊和其他形式的網路犯罪可以產生更高的回報。
• 利用 Apple 生態系統的弱點：Apple 生態系統（包括 iCloud 和其他服務）的相互關聯性，為網路犯罪分子利用弱點提供了機會。入侵一台設備可能會導致對其他連結設備和敏感資訊的未經授權的存取。
• 第三方應用程式商店和下載：從未經檢查的應用程式商店或未經授權的來源下載應用程式的使用者可能會無意中暴露於惡意軟體。網路犯罪分子經常將惡意軟體偽裝成合法應用程序，利用在 Apple 官方 App Store 之外尋找軟體的用戶。

為了應對這種日益嚴重的威脅，macOS 用戶應優先考慮安全最佳實踐，例如保持作業系統和程式更新、使用信譽良好的安全軟體、避免可疑下載以及對網路釣魚嘗試保持警惕。此外，Apple 繼續增強其安全功能，並與網路安全社群合作，解決漏洞並保護用戶免受不斷變化的威脅。