Cybersecurity-onderzoekers hebben een nieuwe Apple macOS-achterdeur ontdekt, genaamd Spectrale vervaging die overlapt met een bekende malwarefamilie die wordt toegeschreven aan Noord-Koreaanse dreigingsactoren.
“SpectralBlur is een redelijk capabele achterdeur die bestanden kan uploaden/downloaden, een shell kan uitvoeren, de configuratie ervan kan bijwerken, bestanden kan verwijderen, in de slaapstand kan komen of kan slapen, op basis van opdrachten die worden uitgegeven door de [command-and-control] server”, zegt beveiligingsonderzoeker Greg Lesnewich.
De malware vertoont overeenkomsten met KANDYKORN (ook bekend als SockRacket), een geavanceerd implantaat dat functioneert als een trojan voor externe toegang die de controle over een gecompromitteerde host kan overnemen.
Het is vermeldenswaard dat de KANDYKORN-activiteit ook kruist met een andere campagne, georkestreerd door de Lazarus-subgroep, bekend als BlueNoroff (ook bekend als TA444), die culmineert in de inzet van een achterdeur genaamd RustBucket en een payload in een laat stadium genaamd ObjCSellz.
In de afgelopen maanden is waargenomen dat de dreigingsactor ongelijksoortige delen van deze twee infectieketens combineert, waarbij gebruik wordt gemaakt van RustBucket-druppelaars om KANDYKORN af te leveren.
De nieuwste bevindingen zijn een ander teken dat Noord-Koreaanse dreigingsactoren steeds meer hun zinnen op macOS richten om waardevolle doelen te infiltreren, met name die binnen de cryptocurrency- en de blockchain-industrie.
“TA444 blijft snel en furieus werken met deze nieuwe macOS-malwarefamilies”, aldus Lesnewich.
Beveiligingsonderzoeker Patrick Wardle, die aanvullende inzichten deelde in de interne werking van SpectralBlur, zei dat het Mach-O binaire bestand in augustus 2023 vanuit Colombia naar de VirusTotal-malwarescanservice werd geüpload.
De functionele overeenkomsten tussen KANDYKORN en SpectralBlur hebben de mogelijkheid doen ontstaan dat ze door verschillende ontwikkelaars zijn gebouwd, met dezelfde vereisten in gedachten.
Wat de malware zo bijzonder maakt, zijn de pogingen om de analyse te belemmeren en detectie te omzeilen, terwijl Grantpt wordt gebruikt om een pseudo-terminal op te zetten en shell-opdrachten uit te voeren die zijn ontvangen van de C2-server.
De onthulling komt omdat er in 2023 in totaal 21 nieuwe malwarefamilies zijn ontdekt die zijn ontworpen om macOS-systemen aan te vallen, waaronder ransomware, informatiestelers, trojans voor externe toegang en door de staat gesteunde malware, tegen 13 in 2022.
“Met de aanhoudende groei en populariteit van macOS (vooral in het bedrijfsleven!), zal 2024 zeker een hele reeks nieuwe macOS-malware met zich meebrengen”, aldus Wardle.
