SpectralBlur: Kuzey Koreli Bilgisayar Korsanlarından Yeni macOS Arka Kapı Tehdidi

Siber güvenlik araştırmacıları, Kuzey Koreli tehdit aktörlerine atfedilen bilinen bir kötü amaçlı yazılım ailesiyle örtüşen SpectralBlur adlı yeni bir Apple macOS arka kapısı keşfetti.

Güvenlik araştırmacısı Greg Lesnewich, "SpectralBlur, [komut ve kontrol sunucusundan] verilen komutlara dayalı olarak dosya yükleyebilen/indirebilen, bir kabuk çalıştırabilen, yapılandırmasını güncelleyebilen, dosyaları silebilen, hazırda bekletme veya uyku moduna geçebilen orta derecede yetenekli bir arka kapıdır" dedi.

Kötü amaçlı yazılım, güvenliği ihlal edilmiş bir ana bilgisayarın kontrolünü ele geçirebilen bir uzaktan erişim truva atı işlevi gören gelişmiş bir implant olan KANDYKORN (diğer adıyla SockRacket) ile benzerlikler paylaşıyor.

KANDYKORN etkinliğinin, BlueNoroff (diğer adıyla TA444) olarak bilinen Lazarus alt grubu tarafından düzenlenen ve RustBucket olarak adlandırılan bir arka kapının ve ObjCShellz olarak adlandırılan bir geç aşama yükünün konuşlandırılmasıyla sonuçlanan başka bir kampanyayla da kesiştiğini belirtmekte fayda var.

Son aylarda, tehdit aktörünün bu iki enfeksiyon zincirinin farklı parçalarını birleştirdiği ve KANDYKORN'u teslim etmek için RustBucket damlalıklarından yararlandığı gözlemlendi.

En son bulgular, Kuzey Koreli tehdit aktörlerinin, özellikle kripto para birimi ve blok zinciri endüstrilerindekiler olmak üzere yüksek değerli hedeflere sızmak için gözlerini giderek daha fazla macOS'a diktiğinin bir başka işaretidir.

Lesnewich, "TA444, bu yeni macOS kötü amaçlı yazılım aileleriyle hızlı ve öfkeli bir şekilde çalışmaya devam ediyor" dedi.

SpectralBlur'un iç işleyişine ilişkin ek bilgiler paylaşan güvenlik araştırmacısı Patrick Wardle, Mach-O ikilisinin Ağustos 2023'te Kolombiya'dan VirusTotal kötü amaçlı yazılım tarama hizmetine yüklendiğini söyledi.

KANDYKORN ve SpectralBlur arasındaki işlevsel benzerlikler, aynı gereksinimleri göz önünde bulundurarak farklı geliştiriciler tarafından oluşturulmuş olma olasılığını artırdı.

Kötü amaçlı yazılımı öne çıkaran şey, sözde bir terminal kurmak ve C2 sunucusundan alınan kabuk komutlarını yürütmek için grantpt kullanırken analizi engelleme ve algılamadan kaçınma girişimleridir.

Açıklama, fidye yazılımları, bilgi hırsızları, uzaktan erişim truva atları ve ulus devlet destekli kötü amaçlı yazılımlar dahil olmak üzere macOS sistemlerini hedeflemek için tasarlanmış toplam 21 yeni kötü amaçlı yazılım ailesinin 2022'de tespit edilen 13'ten 2023'te keşfedilmesiyle geldi.

Wardle, "macOS'un (özellikle kurumsal alanda!) devam eden büyümesi ve popülaritesi ile 2024 kesinlikle bir dizi yeni macOS kötü amaçlı yazılımı getirecek" dedi.