Các nhà nghiên cứu an ninh mạng đã phát hiện ra một backdoor macOS mới của Apple có tên SpectralBlur trùng lặp với một họ phần mềm độc hại đã biết được cho là do các tác nhân đe dọa Triều Tiên.
"SpectralBlur là một backdoor có khả năng vừa phải có thể tải lên / tải xuống tệp, chạy shell, cập nhật cấu hình, xóa tệp, ngủ đông hoặc ngủ, dựa trên các lệnh được phát ra từ [máy chủ chỉ huy và kiểm soát]", nhà nghiên cứu bảo mật Greg Lesnewich cho biết.
Phần mềm độc hại chia sẻ những điểm tương đồng với KANDYKORN (hay còn gọi là SockRacket), một bộ cấy tiên tiến có chức năng như một trojan truy cập từ xa có khả năng kiểm soát máy chủ bị xâm nhập.
Điều đáng chú ý là hoạt động KANDYKORN cũng giao nhau với một chiến dịch khác được dàn dựng bởi nhóm phụ Lazarus được gọi là BlueNoroff (hay còn gọi là TA444), mà đỉnh điểm là việc triển khai một cửa hậu được gọi là RustBucket và một tải trọng giai đoạn cuối có tên là ObjCShellz.
Trong những tháng gần đây, tác nhân đe dọa đã được quan sát thấy kết hợp các mảnh khác nhau của hai chuỗi lây nhiễm này, tận dụng các ống nhỏ giọt RustBucket để cung cấp KANDYKORN.
Những phát hiện mới nhất là một dấu hiệu khác cho thấy các tác nhân đe dọa Triều Tiên đang ngày càng đặt mục tiêu vào macOS để xâm nhập vào các mục tiêu có giá trị cao, đặc biệt là những mục tiêu trong ngành công nghiệp tiền điện tử và blockchain.
"TA444 tiếp tục chạy nhanh và dữ dội với các họ phần mềm độc hại macOS mới này", Lesnewich nói.
Nhà nghiên cứu bảo mật Patrick Wardle, người đã chia sẻ những hiểu biết bổ sung về hoạt động bên trong của SpectralBlur, cho biết hệ nhị phân Mach-O đã được tải lên dịch vụ quét phần mềm độc hại VirusTotal vào tháng 8/2023 từ Colombia.
Sự tương đồng về chức năng giữa KANDYKORN và SpectralBlur đã làm tăng khả năng chúng có thể đã được xây dựng bởi các nhà phát triển khác nhau giữ cùng một yêu cầu trong tâm trí.
Điều làm cho phần mềm độc hại nổi bật là những nỗ lực cản trở phân tích và tránh bị phát hiện trong khi sử dụng grantpt để thiết lập một thiết bị đầu cuối giả và thực thi các lệnh shell nhận được từ máy chủ C2.
Tiết lộ được đưa ra khi tổng cộng 21 họ phần mềm độc hại mới được thiết kế để nhắm mục tiêu vào các hệ thống macOS, bao gồm ransomware, kẻ đánh cắp thông tin, trojan truy cập từ xa và phần mềm độc hại được nhà nước hậu thuẫn, đã được phát hiện vào năm 2023, tăng từ 13 phần mềm được xác định vào năm 2022.
"Với sự phát triển và phổ biến liên tục của macOS (đặc biệt là trong doanh nghiệp!), Năm 2024 chắc chắn sẽ mang đến một loạt phần mềm độc hại macOS mới", Wardle lưu ý.