SpectralBlur ：2024 年“首恶”

SpectralBlur 是一个新的 macOS 后门，本周研究人员首次对其进行了鉴定，它似乎与去年针对区块链工程师的朝鲜恶意软件有关。

该恶意软件被 Objective-See 的安全研究员 Patrick Wardle 称为“2024 年首个恶意软件”，并于 2023 年 8 月首次上传到 VirusTotal。

macOS 恶意软件最初是由 Proofpoint 的高级威胁研究员 Greg Lesnewich 发现和分析的，他于 1 月 3 日在个人博客上分享了他的发现。Wardle 随后对 SpectralBlur 样本进行了更深入的分析，该样本由 Objective-See于 1 月发布. 4.

新的 macOS 恶意软件使用独特的方法从远程服务器运行命令

Lesnewich 表示，SpectralBlur 具有恶意软件后门的许多常见功能，包括上传、下载和删除文件、运行 shell 和更新其配置的能力。它通过运行来自远程命令和控制 (C2) 服务器的命令来执行这些任务，并且它与服务器的通信使用 Rivest Cipher 4 (RC4) 进行加密。

SentinelOne 威胁研究员 Phil Stokes 指出了 SpectralBlur 最独特的方面之一，他在 X 上写道：“[SpectralBlur] 使用 grantpt 来设置伪终端。以前没见过。”

Wardle 在他的分析中还发现了使用伪终端来远程执行 shell 命令的情况。他怀疑这是 SpectralBlur 秘密策略的一部分，其中还包括加密与 C2 服务器的通信、通过用零覆盖来删除自己的文件内容以及将自身分叉为多个实例。

SpectralBlur 类似于 Lazarus Group 的 KANDYKORN

去年 11 月，在传播 KANDYKORN 远程访问木马的活动中，区块链工程师成为朝鲜黑客的攻击目标。Elastic Security Labs发现了该活动，并将其归因于与Lazarus Group有关联的国家资助的参与者。

Lesnewich 使用 VirusTotal 的逆向搜索服务在其他恶意软件样本中查找类似的字符串，并发现 SpectralBlur 和 KANDYKORN 之间的重叠，并表示这两者“感觉像是由具有相同需求的不同人开发的系列”。

例如，KANDYKORN 还将其通信封装在 RC4 加密中，并具有许多相同的文件管理和自配置后门功能。然而，SpectralBlur 包含许多它自己独特的字符串，以及不寻常的伪终端方法。

Wardle 指出，SpectralBlur 最初由哥伦比亚用户上传，尚未被 VirusTotal 聚合的任何防病毒引擎标记为恶意软件。

目前尚不清楚黑客是否会以与 KANDYKORN 类似的方式使用“2024 年首个恶意软件”，KANDYKORN 也被发现出现在针对 macOS 的混合技术活动中。