SpectralBlur 是一个新的 macOS 后门,本周研究人员首次对其进行了鉴定,它似乎与去年针对区块链工程师的朝鲜恶意软件有关。
该恶意软件被 Objective-See 的安全研究员 Patrick Wardle 称为“2024 年首个恶意软件”,并于 2023 年 8 月首次上传到 VirusTotal。
macOS 恶意软件最初是由 Proofpoint 的高级威胁研究员 Greg Lesnewich 发现和分析的,他于 1 月 3 日在个人博客上分享了他的发现。Wardle 随后对 SpectralBlur 样本进行了更深入的分析,该样本由 Objective-See于 1 月发布. 4.
新的 macOS 恶意软件使用独特的方法从远程服务器运行命令
Lesnewich 表示,SpectralBlur 具有恶意软件后门的许多常见功能,包括上传、下载和删除文件、运行 shell 和更新其配置的能力。它通过运行来自远程命令和控制 (C2) 服务器的命令来执行这些任务,并且它与服务器的通信使用 Rivest Cipher 4 (RC4) 进行加密。
SentinelOne 威胁研究员 Phil Stokes 指出了 SpectralBlur 最独特的方面之一,他在 X 上写道:“[SpectralBlur] 使用 grantpt 来设置伪终端。以前没见过。”
Wardle 在他的分析中还发现了使用伪终端来远程执行 shell 命令的情况。他怀疑这是 SpectralBlur 秘密策略的一部分,其中还包括加密与 C2 服务器的通信、通过用零覆盖来删除自己的文件内容以及将自身分叉为多个实例。
SpectralBlur 类似于 Lazarus Group 的 KANDYKORN
去年 11 月,在传播 KANDYKORN 远程访问木马的活动中,区块链工程师成为朝鲜黑客的攻击目标。Elastic Security Labs发现了该活动,并将其归因于与Lazarus Group有关联的国家资助的参与者。
Lesnewich 使用 VirusTotal 的逆向搜索服务在其他恶意软件样本中查找类似的字符串,并发现 SpectralBlur 和 KANDYKORN 之间的重叠,并表示这两者“感觉像是由具有相同需求的不同人开发的系列”。
例如,KANDYKORN 还将其通信封装在 RC4 加密中,并具有许多相同的文件管理和自配置后门功能。然而,SpectralBlur 包含许多它自己独特的字符串,以及不寻常的伪终端方法。
Wardle 指出,SpectralBlur 最初由哥伦比亚用户上传,尚未被 VirusTotal 聚合的任何防病毒引擎标记为恶意软件。
目前尚不清楚黑客是否会以与 KANDYKORN 类似的方式使用“2024 年首个恶意软件”,KANDYKORN 也被发现出现在针对 macOS 的混合技术活动中。
发表评论
您还未登录,请先登录。
登录