专家们发现了一个与朝鲜有关的新的 macOS 后门，名为 SpectralBlur

安全研究人员格雷格·莱斯纽维奇发现了一种名为 SpectralBlur 的后门，针对苹果 macOS。这个后门与 KANDYKORN（又称 SockRacket）恶意软件家族显示出相似之处，该家族被归因于与朝鲜有关的 Lazarus 子组织 BlueNoroff（又称 TA444）。

Elastic Security 发布的报告指出，“KandyKorn 是一个具有各种能力的高级植入物，可以监视、交互和避免检测。它利用反射式加载，这是一种直接内存形式的执行方式，可能会绕过检测。”SpectralBlur 不是一种复杂的恶意软件，它支持普通的后门功能，包括上传/下载文件、运行 shell、更新其配置、删除文件、休眠或睡眠，基于从 C2 发出的命令。“TA444 继续使用这些新的 MacOS 恶意软件家族。寻找类似的字符串导致我们将 SpectralBlur 和 KandyKorn 相关联（在发现更多样本后进一步与 TA444 相关联，最终，一个钓鱼活动使我们能够看到了 KandyKorn）。”莱斯纽维奇总结道，“因此，如果您感兴趣，了解您的 Macho 东西将有助于跟踪新出现的朝鲜能力！”

最新的发现证实，与朝鲜有关的威胁行为者非常感兴趣开发 macOS 恶意软件，以用于有针对性的攻击。2023 年 11 月，Jamf Threat Labs 的研究人员发现了一种新的 macOS 恶意软件变种，被称为 ObjCShellz，并将其归因于与朝鲜有关的 APT BlueNoroff。专家注意到 ObjCShellz 恶意软件与 RustBucket 恶意软件活动有相似之处，该活动与 BlueNoroff APT 组织相关。2023 年 7 月，Elastic Security Labs 的研究人员发现了 RustBucket 苹果 macOS 新变种。今年 4 月，安全公司 Jamf 观察到与朝鲜有关的 BlueNoroff APT 组织使用了一种新的 macOS 恶意软件，被称为 RustBucket。

原文始发于微信公众号（黑猫安全）：专家们发现了一个与朝鲜有关的新的 macOS 后门，名为 SpectralBlur