近日，安全研究员 Greg Lesnewich 发现了一个名为 SpectralBlur 的后门，该后门针对的是 Apple macOS。

该后门与恶意软件家族 KANDYKORN（又名 SockRacket）有相似之处，后者归因于与朝鲜有关的 Lazarus 子组织 BlueNoroff（又名 TA444）。

KandyKorn 是一种先进的植入物，具有多种监控、交互和避免检测的功能。它利用反射加载，这是一种可以绕过检测的直接内存执行形式。

SpectralBlur 不是复杂的恶意软件，它支持普通的后门功能，包括根据 C2 发出的命令上传/下载文件、运行 shell、更新其配置、删除文件、休眠或休眠。

TA444 在这些新的 MacOS 恶意软件家族中持续运行，通过寻找类似的字符串，安全研究人员将 SpectralBlur 和 KandyKorn 联系起来，在出现更多样本后，进一步与 TA444 联系起来。

最终，网络钓鱼活动袭击了人们的可见度，导致 KandyKorn 瘫痪。最新发现证实了与朝鲜有关的威胁者对开发 macOS 恶意软件以用于有针对性的攻击的极大兴趣。

2023 年 11 月，Jamf 威胁实验室的研究人员发现了一种名为 ObjCShellz 的新 macOS 恶意软件菌株，并将其归因于与朝鲜有关的 APT BlueNoroff。

专家们注意到 ObjCShellz 恶意软件与 BlueNoroff APT 组织相关的 RustBucket 恶意软件活动有相似之处。2023 年 7 月，Elastic Security Labs 的研究人员发现了 RustBucket Apple macOS 恶意软件的新变种。今年 4 月，安全公司 Jamf 观察到与朝鲜有关的 BlueNoroff APT 组织使用了一种名为 RustBucket 的新 macOS 恶意软件。

参考及来源：https://securityaffairs.com/157010/apt/macos-backdoor-spectralblur-north-korea.html