SpectralBlur, novi macOS backdoor
Sigurnosni istraživač Greg Lesnewich je otkrio SpectralBlur, novi macOS backdoor. Ovaj zlonamjerni softver ima zajedničke karakteristike sa poznatom porodicom zlonamjernog softvera povezanom sa severnokorejskim prijetnjama i sposoban je za otpremanje i preuzimanje datoteka, pokretanje komandnog okruženja, ažuriranje svoje konfiguracije i izvršavanje komandi sa servera za komandu i kontrolu.
SPECTRALBLUR
SpectralBlur backdoor koji cilja Apple macOS uređaje pokazuje sličnosti sa porodicom zlonamjernog softvera KandyKorn (poznatog još kao SockRacket), koji je pripisan Lazarus podgrupi povezanoj sa Sjevernom Korejom poznatoj kao BlueNoroff (poznatoj još kao TA444). SpectralBlur backdoor se prvi put pojavio u avgustu 2023. godine na usluzi za skeniranje zlonamjernog softvera VirusTotal u avgustu 2023. godine otpremlljen iz Kolumbije.
SpectralBlur ima mnoge uobičajene karakteristike backdoor zlonamjernog softvera, uključujući mogućnost otpremanja, preuzimanja i brisanja datoteka, pokretanja komandnog okruženja i ažuriranja svoje konfiguracije. On obavlja ove zadatke tako što pokreće komande sa servera za udaljenu komandu i kontrolu (C2), a njegova komunikacija sa serverom je šifrovana pomoću Rivest Cipher 4 (RC4).
Nakon inicijalizacije, zlonamjerni softver izvršava funkciju odgovornu za dešifrovanje ili šifrovanje svoje konfiguracije i mrežnog saobraćaja, a zatim nastavlja sa obavljanjem različitih radnji koje imaju za cilj da ometaju analizu i otkrivanje.
“TA444 nastavlja da radi brzo i žestoko sa ovim novim macOS porodicama zlonamjernog softvera. Traženje sličnih nizova dovelo nas je do povezivanja SpectralBlur i KandyKorn (koji su dalje povezani sa TA444 nakon što se pojavilo više uzoraka, i na kraju, phishing kampanja je došla u naš vidokrug i zasjenila KandyKorn). Dakle, poznavanje vaših Mach-O stvari će pomoći u praćenju novih mogućnosti Sjeverne Koreje ako je to vaš interes!”
– Greg Lesnewich –
Jedan od najjedinstvenijih aspekata SpectralBlur zlonamjernog softvera primijetio je sigurnosni istraživač kompanije SentinelOne Phil Stokes, a riječ je o korištenju grantpt – funkcije koja mijenja režim i vlasništvo podređenog pseudoterminalnog uređaja povezanog sa njegovim glavnim pseudoterminalnim dvojnikom. Ovo do sada nikad nije viđeno. U nekim operativnim sistemima, uključujući Unix i Linux, pseudoterminal, je par krajnjih tačaka (datoteka) pseudo uređaja koji uspostavljaju asinhroni, dvosmjerni komunikacioni kanal (sa dva porta) između dva ili više procesa.
Dalja analiza je pokazala da upotrebu pseudoterminala za daljinsko izvršavanje komandnog okruženja. Sumnja se da je ovo dio SpectralBlur backdoor prikrivene taktike koja takođe uključuje šifrovanje njegove komunikacije sa C2 serverom, brisanje sopstvenog sadržaja datoteke prepisivanjem sa nulama i razdvajanje na više instanci.
Sličnosti sa KandyKorn
Sličnosti između SpectralBlur i KandyKorn, naprednog implantata koji funkcioniše kao trojanac za daljinski pristup, izazvale su zabrinutost zbog potencijalnog preklapanja između dvije porodice zlonamjernog softvera. Primjetno je da se aktivnost KandyKorn ukršta sa kampanjom koja se pripisuje Lazarus podgrupi poznatoj kao BlueNoroff, što je kulminiralo uvođenjem backdoor zlonamjernog softvera pod nazivom RustBucket i korisnog opterećenja u kasnoj fazi po imenu ObjCShellz.
Korištenjem usluge za skeniranje zlonamjernog softvera VirusTotal kako bi pronašli sličnosti u drugim uzorcima i identifikovali preklapanja, sigurnosni istraživači su rekli da imaju osjećaj da su SpectralBlur i KandyKorn porodice koje su razvili različiti ljudi sa istim vrstama zahtjeva. To dodatno potvrđuje sumnju da je SpectralBlur zlonamjerni softver još jedan macOS backdoor u arsenalu Lazarus grupe, istaknute sjevernokorejske hakerske grupe aktivne najmanje od 2009. godine i za koju se vjeruje da je podržava severnokorejska vlada.
LAZARUS GRUPA
Lazarus grupa poznata još kao APT38 je napredna trajna prijetnja (eng. Advanced persistent threat – APT) koju sponzoriše severnokorejska država i povezana sa Generalnim biroom za izviđanje Sjeverne Koreje (RGB). Ova zlonamjerna grupa je izvršila značajan uticaj na globalnu sajber bezbjednost, vršeći visokoprofilne finansijske sajber napade i baveći se sajber špijunažom. Njihove operacije često uključuju primjenu sofisticiranog zlonamjernog softvera, čija analiza pruža vrijedne podatke o prijetnjama za zajednicu sajber bezbjednosti.
Aktivnosti grupe su u skladu sa političkim interesima Sjeverne Koreje, a ciljane su na različite zemlje uključujući Južnu Koreju, SAD i mnoge druge. Njihove taktike uključuju spear-phishing, napade na vodu i iskorištavanje ranjivosti nultog dana. Takođe je poznato da onemogućavaju protokole za praćenje u operativnim sistemima žrtava kako bi izbjegli otkrivanje. Uprkos njihovim naporima da ostanu skriveni, njihove aktivnosti su opširno dokumentovane kroz analizu zlonamjernog softvera i obavještajne podatke o prijetnjama, što je doprinijelo razumijevanju njihovih metoda i ciljeva.
Vjeruje se da Lazarus grupa ima dvije jedinice. Oni uključuju BlueNorOff i AndAriel. BlueNorOff ima oko 1.700 članova fokusiranih na vršenje finansijskog sajber kriminala. Oni ciljaju banke i odnedavno, berze kriptovaluta ciljajući preko 16 organizacija u preko 13 zemalja. Njihova ukradena sredstva koriste se za podršku raketnoj i nuklearnoj tehnologiji. Jedinica AndAriel obično cilja na organizacije i finansijske institucije u Južnoj Koreji. Pored toga, AndAriel ima oko 1.600 članova koji obavljaju izviđačke poslove i analiziraju neprijateljsku infrastrukturu za potencijalni napad kasnije.
ZAKLJUČAK
Otkrivanje SpectralBlur zlonamjernog softvera se dodaje na rastuću listu porodica zlonamjernog softvera koje ciljaju na macOS, uključujući ransomware, kradljivce informacija, trojance za daljinski pristup i zlonamjerni softver koji podržava nacionalna država. Sa sve većom popularnošću macOS operativnog sistema, posebno u poslovnim okruženjima, stručnjaci predviđaju porast novog macOS zlonamjernog softvera u 2024. godini.
ZAŠTITA
Kako bi zaštitili macOS uređaje korisnici bi trebalo da redovno ažuriraju svoje operativne sisteme i da razmotre korištenje provjerenog antivirusnog softvera. Apple ugrađeni skener zlonamjernog softvera, xProtect nudi osnovnu zaštitu, ali dodatne bezbjednosne mjere kao što su plaćeni antivirus, menadžeri lozinki i VPN servis mogu da obezbijede poboljšanu bezbjednost. Korisnici takođe treba da praktikuju navike bezbjednog pretraživanja interneta, da budu oprezni sa sumnjivim vezama i elektronskom poštom i da nauče da identifikuju phishing prevare.