9/67 (IT) ประจำวันจันทร์ที่ 8 มกราคม 2567
นักวิจัยด้านความปลอดภัย Greg Lesnewich ค้นพบแบ็คดอร์ที่เรียกว่า SpectralBlur ซึ่งกำหนดเป้าหมายไปที่ Apple macOS โดยแบ็คดอร์มีความคล้ายคลึงกับตระกูลมัลแวร์ KANDYKORN (SockRacket) ซึ่งมีการใช้งานโดยกลุ่มย่อย Lazarus ที่เชื่อมโยงกับเกาหลีเหนือ ที่รู้จักกันในชื่อ BlueNoroff (TA444 )
KANDYKORN เป็นมัลแวร์ขั้นสูงมีความสามารถหลากหลายในการตรวจสอบ โต้ตอบ และหลีกเลี่ยงการตรวจจับ แต่ SpectralBlur ไม่ใช่มัลแวร์ที่ซับซ้อน มีความสามารถแบบแบ็คดอร์ทั่วไป รวมถึงการอัปโหลด/ดาวน์โหลดไฟล์ การรันเชลล์ การอัปเดตการกำหนดค่า การลบไฟล์ หรือโหมด sleep ตามคำสั่งที่ออกจากเครื่อง C2 แต่มีการค้นหาสตริงที่คล้ายกันทำให้นักวิจัยสามารถเชื่อมโยง SpectralBlur และ KandyKorn และการค้นพบล่าสุดยืนยันถึงความสนใจอย่างมากของผู้คุกคามที่เกี่ยวข้องกับเกาหลีเหนือในการพัฒนามัลแวร์ macOS เพื่อใช้ในการโจมตีแบบกำหนดเป้าหมาย
โดยในเดือนพฤศจิกายน 2023 มีนักวิจัยจาก Jamf Threat Labs ค้นพบมัลแวร์ macOS สายพันธุ์ใหม่ ที่เรียกว่า ObjCShellz และระบุว่าเป็นของกลุ่ม APT BlueNoroff โดยผู้เชี่ยวชาญสังเกตเห็นว่ามัลแวร์ ObjCShellz มีความคล้ายคลึงกับแคมเปญมัลแวร์ RustBucket ที่เกี่ยวข้องกับกลุ่ม APT BlueNoroff ในเดือนกรกฎาคม ปี 2023 นักวิจัยจาก Elastic Security Labs ตรวจพบมัลแวร์ RustBucket Apple macOS รูปแบบใหม่ และในเดือนเมษายน บริษัท Jamf ได้สังเกตเห็นกลุ่ม APT BlueNoroff ใช้มัลแวร์ macOS ตัวใหม่ซึ่งมีชื่อว่า RustBucket
แหล่งข่าว https://securityaffairs.com/157010/apt/macos-backdoor-spectralblur-north-korea.html