新的 macOS 恶意软件 SpectralBlur 被确认是朝鲜的后门程序 媒体

SpectralBlur：新发现的macOS后门与朝鲜黑客有关

关键要点

SpectralBlur是一种新发现的macOS后门，可能与去年针对区块链工程师的朝鲜恶意软件有关。该恶意软件具有上传、下载、删除文件和执行命令的能力。研究人员指出，SpectralBlur使用伪终端技术进行远程命令执行，呈现出隐蔽性特征。与KANDYKORN恶意软件有相似之处，但也包含独特的方法和字符串。

在本周首次被研究人员描述的SpectralBlur，是一种新的macOS后门，似乎与去年针对区块链工程师的朝鲜恶意软件有关。

这款恶意软件被安全研究员Patrick Wardle称为“2024年第一款恶意软件”，最早于2023年8月上传至VirusTotal。

SpectralBlur最初由Proofpoint的高级威胁研究员Greg Lesnewich发现并分析，他在1月3日的个人博客上分享了他的发现。Wardle随后对SpectralBlur样本进行了深入分析，并在1月4日由ObjectiveSee发布。

新的macOS恶意软件使用独特方法从远程服务器执行命令

Lesnewich指出，SpectralBlur具备许多典型后门恶意软件的特征，包括上传、下载、删除文件、运行Shell和更新配置等功能。它通过从远程指挥与控制(C2)服务器运行命令来执行这些任务，且与服务器的通讯采用RC4加密。

SentinelOne的威胁研究员Phil Stokes提到，SpectralBlur的一个独特之处在于，“[SpectralBlur]使用grantpt来设置伪终端。这在之前没有见过。”

Wardle在他的分析中也发现了使用伪终端远程执行Shell命令的情况。他怀疑这可能是SpectralBlur的一种隐蔽策略，其他策略还包括加密与C2服务器的通信、通过用零覆盖自身文件内容来删除文件，以及将自身分叉为多个实例。

clash 官网

SpectralBlur与Lazarus Group的KANDYKORN相似

去年11月，朝鲜黑客针对区块链工程师发起了一项活动，传播KANDYKORN远程访问木马。Elastic Security Labs发现了这项活动，并将其归因于与Lazarus Group相关的国家支持的黑客。

Lesnewich利用VirusTotal的逆向猎杀服务查找其他恶意软件样本中的相似字符串，并确定SpectralBlur与KANDYKORN之间存在重叠，称这两者“似乎是由不同的人开发的，具备相似的需求。”

例如，KANDYKORN同样采用RC4加密它的通信，并具备许多相同的后门能力，如文件管理与自我配置。然而，SpectralBlur还有许多独特的字符串，以及不常见的伪终端方法。

Wardle指出，SpectralBlur最初由一位来自哥伦比亚的用户上传，至今尚未被VirusTotal上的任何杀毒引擎标记为恶意。

关于这款“2024年第一款恶意软件”是否以与KANDYKORN相似的方式被朝鲜国家行为人使用，仍需进一步观察。KANDYKORN也被发现在针对macOS的综合技术攻击活动中出现。