นักวิจัยค้นพบ BACKDOOR macOS ตัวใหม่ชื่อว่า SpectralBlur ที่เชื่อมโยงกับ APT ของเกาหลีเหนือ

9/67 (IT) ประจำวันจันทร์ที่ 8 มกราคม 2567

นักวิจัยด้านความปลอดภัย Greg Lesnewich ค้นพบแบ็คดอร์ที่เรียกว่า SpectralBlur ซึ่งกำหนดเป้าหมายไปที่ Apple macOS โดยแบ็คดอร์มีความคล้ายคลึงกับตระกูลมัลแวร์ KANDYKORN (SockRacket) ซึ่งมีการใช้งานโดยกลุ่มย่อย Lazarus  ที่เชื่อมโยงกับเกาหลีเหนือ ที่รู้จักกันในชื่อ BlueNoroff (TA444 )

KANDYKORN เป็นมัลแวร์ขั้นสูงมีความสามารถหลากหลายในการตรวจสอบ โต้ตอบ และหลีกเลี่ยงการตรวจจับ แต่ SpectralBlur ไม่ใช่มัลแวร์ที่ซับซ้อน มีความสามารถแบบแบ็คดอร์ทั่วไป รวมถึงการอัปโหลด/ดาวน์โหลดไฟล์ การรันเชลล์ การอัปเดตการกำหนดค่า การลบไฟล์ หรือโหมด sleep ตามคำสั่งที่ออกจากเครื่อง C2 แต่มีการค้นหาสตริงที่คล้ายกันทำให้นักวิจัยสามารถเชื่อมโยง SpectralBlur และ KandyKorn และการค้นพบล่าสุดยืนยันถึงความสนใจอย่างมากของผู้คุกคามที่เกี่ยวข้องกับเกาหลีเหนือในการพัฒนามัลแวร์ macOS เพื่อใช้ในการโจมตีแบบกำหนดเป้าหมาย

โดยในเดือนพฤศจิกายน 2023 มีนักวิจัยจาก Jamf Threat Labs ค้นพบมัลแวร์ macOS สายพันธุ์ใหม่ ที่เรียกว่า ObjCShellz และระบุว่าเป็นของกลุ่ม APT BlueNoroff โดยผู้เชี่ยวชาญสังเกตเห็นว่ามัลแวร์ ObjCShellz มีความคล้ายคลึงกับแคมเปญมัลแวร์ RustBucket ที่เกี่ยวข้องกับกลุ่ม APT BlueNoroff  ในเดือนกรกฎาคม ปี 2023 นักวิจัยจาก Elastic Security Labs ตรวจพบมัลแวร์ RustBucket  Apple macOS รูปแบบใหม่ และในเดือนเมษายน บริษัท Jamf ได้สังเกตเห็นกลุ่ม APT BlueNoroff  ใช้มัลแวร์ macOS ตัวใหม่ซึ่งมีชื่อว่า RustBucket

แหล่งข่าว https://securityaffairs.com/157010/apt/macos-backdoor-spectralblur-north-korea.html