Siber güvenlik araştırmacıları, Apple’ın yeni bir macOS arka kapısını keşfetti. Spektral Bulanıklık Kuzey Koreli tehdit aktörlerine atfedilen bilinen bir kötü amaçlı yazılım ailesiyle örtüşüyor.
“SpectralBlur, sunucudan verilen komutlara göre dosya yükleyebilen/indirebilen, bir kabuk çalıştırabilen, yapılandırmasını güncelleyebilen, dosyaları silebilen, hazırda bekletme moduna geçebilen veya uyku moduna geçebilen orta düzeyde yetenekli bir arka kapıdır. [command-and-control] Sunucu,” güvenlik araştırmacısı Greg Lesnewich dedi.
Kötü amaçlı yazılım, güvenliği ihlal edilmiş bir ana bilgisayarın kontrolünü ele geçirebilen uzaktan erişim truva atı olarak işlev gören gelişmiş bir implant olan KANDYKORN (diğer adıyla SockRacket) ile benzerlikler paylaşıyor.
KANDYKORN faaliyetinin aynı zamanda BlueNoroff (diğer adıyla TA444) olarak bilinen Lazarus alt grubu tarafından düzenlenen ve RustBucket olarak adlandırılan bir arka kapının ve ObjCShellz olarak adlandırılan bir sonraki aşama yükünün konuşlandırılmasıyla sonuçlanan başka bir kampanyayla da kesiştiğini belirtmekte fayda var.
Son aylarda tehdit aktörünün bu iki enfeksiyon zincirinin farklı parçalarını birleştirdiği ve KANDYKORN’u teslim etmek için RustBucket damlalıklarından yararlandığı gözlemlendi.
Son bulgular, Kuzey Koreli tehdit aktörlerinin, özellikle kripto para birimi ve blockchain sektörlerindeki yüksek değerli hedeflere sızmak için gözlerini giderek daha fazla macOS’a diktiğinin bir başka işareti.
Lesnewich, “TA444, bu yeni macOS kötü amaçlı yazılım aileleriyle hızlı ve öfkeli bir şekilde çalışmaya devam ediyor” dedi.
SpectralBlur’un iç işleyişine ilişkin ek bilgiler paylaşan güvenlik araştırmacısı Patrick Wardle, Mach-O ikili dosyasının Ağustos 2023’te Kolombiya’dan VirusTotal kötü amaçlı yazılım tarama hizmetine yüklendiğini söyledi.
KANDYKORN ve SpectralBlur arasındaki işlevsel benzerlikler, bunların aynı gereksinimleri göz önünde bulundurarak farklı geliştiriciler tarafından oluşturulmuş olabileceği olasılığını artırdı.
Kötü amaçlı yazılımı öne çıkaran şey, bir sözde terminal kurmak ve C2 sunucusundan alınan kabuk komutlarını yürütmek için grantpt’i kullanırken analizi engelleme ve tespitten kaçma girişimleridir.
Açıklama, fidye yazılımları, bilgi hırsızları, uzaktan erişim truva atları ve ulus devlet destekli kötü amaçlı yazılımlar da dahil olmak üzere macOS sistemlerini hedeflemek için tasarlanmış toplam 21 yeni kötü amaçlı yazılım ailesinin 2022’de tespit edilen 13’ten 2023’te keşfedilmesiyle geldi.
Wardle, “MacOS’un (özellikle kurumsal alanda) devam eden büyümesi ve popülerliğiyle birlikte, 2024’ün kesinlikle çok sayıda yeni macOS kötü amaçlı yazılımını beraberinde getireceğini” belirtti.