安全研究人员深入研究 SpectralBlur 的内部运作方式，发现这是一个新的 macOS 后门，似乎与最近发现的朝鲜恶意软件系列 KandyKorn 有关。

观察到的 SpectralBlur 样本最初于 2023 年 8 月上传到 VirusTotal，但仍未被防病毒引擎检测到，直到本周才引起研究人员的注意。

该恶意软件最初由安全研究员 Greg Lesnewich 进行了剖析，他得出的结论是，该恶意软件包含了通常在后门中常见的功能，例如文件上传/下载、文件删除、shell 执行、配置更新和睡眠/休眠。

Lesnewich 在报告中指出，这些操作是根据从命令与控制 (C&C) 服务器收到的命令执行的。他解释说，与服务器的通信是通过 RC4 封装的套接字进行的。

Lesnewich 对后门的分析揭示了与KandyKorn的相似之处，KandyKorn 是 macOS 后门，朝鲜黑客组织Lazarus 最近在针对加密货币交易平台的攻击中使用了该后门。

KandyKorn 是一种先进的植入程序，旨在逃避检测并为黑客提供监视受感染设备并与之交互的能力。

Lesnewich 指出，SpectralBlur 和 KandyKorn 似乎是来自不同开发人员的恶意软件系列，但它们是根据相同的要求构建的。

Lesnewich 发表研究结果后，Objective-See 的安全研究员 Patrick Wardle 也对 SpectralBlur 进行了分析（https://objective-see.org/blog/blog_0x78.html），得出了类似的结论：该后门包含标准后门功能，与网络通信、文件和进程操作以及其自身配置相关。

初始化后，恶意软件执行解密/加密其配置和网络流量的功能，然后继续执行旨在阻碍分析和检测的各种操作。

根据 Wardle 的说法，SpectralBlur 使用伪终端来执行从 C&C 接收到的 shell 命令，并被设计为在打开文件并用零覆盖其内容后擦除文件。

Lesnewich 和 Wardle 似乎都相信 SpectralBlur 是 Lazarus 武器库中的另一个 macOS 后门，Lazarus 是一个著名的朝鲜黑客组织，至少自 2009 年以来一直活跃。

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/vpT_DcZ5CEKmWXOJjFNSRA

封面来源于网络，如有侵权请联系删除