安全研究人员深入研究 SpectralBlur 的内部运作方式,发现这是一个新的 macOS 后门,似乎与最近发现的朝鲜恶意软件系列 KandyKorn 有关。
观察到的 SpectralBlur 样本最初于 2023 年 8 月上传到 VirusTotal,但仍未被防病毒引擎检测到,直到本周才引起研究人员的注意。
该恶意软件最初由安全研究员 Greg Lesnewich 进行了剖析,他得出的结论是,该恶意软件包含了通常在后门中常见的功能,例如文件上传/下载、文件删除、shell 执行、配置更新和睡眠/休眠。
Lesnewich 在报告中指出,这些操作是根据从命令与控制 (C&C) 服务器收到的命令执行的。他解释说,与服务器的通信是通过 RC4 封装的套接字进行的。
Lesnewich 对后门的分析揭示了与KandyKorn的相似之处,KandyKorn 是 macOS 后门,朝鲜黑客组织Lazarus 最近在针对加密货币交易平台的攻击中使用了该后门。
KandyKorn 是一种先进的植入程序,旨在逃避检测并为黑客提供监视受感染设备并与之交互的能力。
Lesnewich 指出,SpectralBlur 和 KandyKorn 似乎是来自不同开发人员的恶意软件系列,但它们是根据相同的要求构建的。
Lesnewich 发表研究结果后,Objective-See 的安全研究员 Patrick Wardle 也对 SpectralBlur 进行了分析(https://objective-see.org/blog/blog_0x78.html),得出了类似的结论:该后门包含标准后门功能,与网络通信、文件和进程操作以及其自身配置相关。
初始化后,恶意软件执行解密/加密其配置和网络流量的功能,然后继续执行旨在阻碍分析和检测的各种操作。
根据 Wardle 的说法,SpectralBlur 使用伪终端来执行从 C&C 接收到的 shell 命令,并被设计为在打开文件并用零覆盖其内容后擦除文件。
Lesnewich 和 Wardle 似乎都相信 SpectralBlur 是 Lazarus 武器库中的另一个 macOS 后门,Lazarus 是一个著名的朝鲜黑客组织,至少自 2009 年以来一直活跃。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/vpT_DcZ5CEKmWXOJjFNSRA
封面来源于网络,如有侵权请联系删除