นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ backdoor ตัวใหม่บน macOS ชื่อ SpectralBlur ซึ่งมีความเชื่อมโยงกับมัลแวร์ที่เป็นที่รู้จักกันดี ซึ่งเชื่อมโยงกับผู้โจมตีชาวเกาหลีเหนือ
นักวิจัยด้านความปลอดภัย Greg Lesnewich ระบุว่า "SpectralBlur เป็น backdoor ที่มีความสามารถในระดับปานกลาง ซึ่งสามารถอัปโหลด/ดาวน์โหลดไฟล์, รันคำสั่ง shell, อัปเดตการตั้งค่า, ลบไฟล์, เข้าสู่โหมด hibernate หรือปิดการทำงานตามคำสั่งที่ได้รับจากเซิร์ฟเวอร์ command-and-control"
มัลแวร์ SpectralBlur ตัวนี้มีความคล้ายคลึงกับ KANDYKORN (เรียกอีกชื่อว่า SockRacket) ซึ่งเป็นมัลแวร์ที่มีความสามารถสูงที่ทำหน้าที่เป็นโทรจันสำหรับการควบคุมจากระยะไกล และสามารถเข้าควบคุมคอมพิวเตอร์ที่ติดมัลแวร์ได้อย่างสมบูรณ์
น่าสังเกตว่า พฤติกรรมของ KANDYKORN มีความเชื่อมโยงกับอีกแคมเปญหนึ่งที่ Lazarus sub-group ที่ชื่อ BlueNoroff (หรืออีกชื่อคือ TA444) เป็นผู้ดำเนินการ แคมเปญนี้มีขั้นตอนของการโจมตีที่ซับซ้อน โดยเริ่มต้นด้วยการใช้ KANDYKORN แล้วตามด้วยการติดตั้ง backdoor ชื่อ RustBucket และ payload ขั้นตอนสุดท้ายที่เรียกว่า ObjCShellz
ในช่วงไม่กี่เดือนที่ผ่านมา ผู้ไม่หวังดีได้เปลี่ยนวิธีการโจมตี โดยผสมผสานเทคนิคจากสองแคมเปญที่แตกต่างกันเข้าด้วยกัน โดยใช้ RustBucket droppers เพื่อปล่อยมัลแวร์ KANDYKORN
การค้นพบล่าสุดแสดงให้เห็นอีกครั้งว่า ผู้โจมตีชาวเกาหลีเหนือกำลังหันมาโจมตีระบบ macOS มากขึ้น เพื่อเจาะเข้าหาเป้าหมายที่มีมูลค่าสูง โดยเฉพาะอย่างยิ่งในอุตสาหกรรม cryptocurrency และ blockchain
Lesnewich ระบุว่า "TA444 ยังคงพัฒนาสายพันธุ์มัลแวร์ใหม่ ๆ สำหรับระบบ macOS อย่างรวดเร็ว และรุนแรงมากขึ้น"
Patrick Wardle นักวิจัยด้านความปลอดภัย รายงานข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการทำงานภายในของ SpectralBlur ว่า "ไฟล์ไบนารี Mach-O นี้ถูกอัปโหลดไปยังบริการสแกนไวรัสของ VirusTotal ในเดือนสิงหาคม 2023 จากประเทศโคลอมเบีย"
ความคล้ายคลึงในแง่ของการทำงานระหว่าง KANDYKORN และ SpectralBlur ได้ก่อให้เกิดข้อสงสัยว่า พวกมันอาจถูกสร้างขึ้นโดยนักพัฒนาคนละคน แต่มีเป้าหมายเดียวกัน
สิ่งที่ทำให้มัลแวร์ตัวนี้โดดเด่น คือความพยายามในการขัดขวางการวิเคราะห์ และการหลบเลี่ยงการตรวจจับ ในขณะที่ใช้คำสั่ง grantpt เพื่อตั้งค่า pseudo-terminal และดำเนินการคำสั่ง shell commands ที่ได้รับจาก C2 Server
การเปิดเผยนี้เกิดขึ้นในขณะที่มีการค้นพบมัลแวร์สายพันธุ์ใหม่ทั้งหมด 21 สายพันธุ์สำหรับระบบ macOS ในปี 2023 ซึ่งรวมถึง ransomware, information stealers, remote access trojans และมัลแวร์ที่ได้รับการสนับสนุนจากรัฐ เพิ่มขึ้นจาก 13 สายพันธุ์ในปี 2022
Wardle ระบุว่า "ด้วยการเติบโต และความนิยมของ macOS อย่างต่อเนื่อง (โดยเฉพาะอย่างยิ่งในองค์กร) ปี 2024 จะต้องมีมัลแวร์ macOS ใหม่ ๆ เพิ่มขึ้นอย่างแน่นอน"
ที่มา : thehackernews
You must be logged in to post a comment.