新的“SpectralBlur” macOS 系统后门与朝鲜黑客组织有关

可用-朝鲜

安全研究人员深入研究 SpectralBlur 的内部运作方式,发现这是一个新的 macOS 后门,似乎与最近发现的朝鲜恶意软件系列 KandyKorn 有关。

观察到的 SpectralBlur 样本最初于 2023 年 8 月上传到 VirusTotal,但仍未被防病毒引擎检测到,直到本周才引起研究人员的注意。

该恶意软件最初由安全研究员 Greg Lesnewich 进行了剖析,他得出的结论是,该恶意软件包含了通常在后门中常见的功能,例如文件上传/下载、文件删除、shell 执行、配置更新和睡眠/休眠。

Lesnewich 在报告中指出,这些操作是根据从命令与控制 (C&C) 服务器收到的命令执行的。他解释说,与服务器的通信是通过 RC4 封装的套接字进行的。

Lesnewich 对后门的分析揭示了与KandyKorn的相似之处,KandyKorn 是 macOS 后门,朝鲜黑客组织Lazarus 最近在针对加密货币交易平台的攻击中使用了该后门。

KandyKorn 是一种先进的植入程序,旨在逃避检测并为黑客提供监视受感染设备并与之交互的能力。

Lesnewich 指出,SpectralBlur 和 KandyKorn 似乎是来自不同开发人员的恶意软件系列,但它们是根据相同的要求构建的。

Lesnewich 发表研究结果后,Objective-See 的安全研究员 Patrick Wardle 也对 SpectralBlur 进行了分析(https://objective-see.org/blog/blog_0x78.html),得出了类似的结论:该后门包含标准后门功能,与网络通信、文件和进程操作以及其自身配置相关。

640

初始化后,恶意软件执行解密/加密其配置和网络流量的功能,然后继续执行旨在阻碍分析和检测的各种操作。

640

根据 Wardle 的说法,SpectralBlur 使用伪终端来执行从 C&C 接收到的 shell 命令,并被设计为在打开文件并用零覆盖其内容后擦除文件。

Lesnewich 和 Wardle 似乎都相信 SpectralBlur 是 Lazarus 武器库中的另一个 macOS 后门,Lazarus 是一个著名的朝鲜黑客组织,至少自 2009 年以来一直活跃。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/vpT_DcZ5CEKmWXOJjFNSRA

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞9 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容