セキュリティ研究者のGreg Lesnewich氏は1月3日(米国時間)、「100DaysofYARA - SpectralBlur|A Clever Blog Name by Greg Lesnewich」において、macOSを標的とする新しいバックドア「SpectralBlur」を発見したとして、注意を呼び掛けた。この攻撃は北朝鮮の脅威グループ「TA444(別名:Sapphire Sleet、BlueNoroff、Stardust Chollima)」が関係しているとみられ、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)として機能するマルウェア「KANDYKORN」に類似点を持つという(参考:「北朝鮮のサイバー攻撃グループ「Lazarus」、macOSのブロックチェーンエンジニア狙う | TECH+(テックプラス)」)。

  • 100DaysofYARA - SpectralBlur|A Clever Blog Name by Greg Lesnewich

    100DaysofYARA - SpectralBlur|A Clever Blog Name by Greg Lesnewich

バックドア「SpectralBlur」によってできること

Greg Lesnewich氏はインターネット接続デバイス検索エンジンの「Censys」を利用し、不審なドメイン「pxaltonet[.]org」を発見。VirusTotalを使用してこのドメインを監視することで、「.macshare」というファイル名のマルウェアを発見し、分析したとしている。同氏はこのマルウェアを2023年8月に発見したとしており、VirusTotalの登録情報と一致する。VirusTotalの登録情報によるとこのマルウェアはmacOS向けのMach-O 64bit実行可能ファイルとされる(参考:「VirusTotal - File - 6f3e849ee0fe7a6453bd0408f0537fa894b17fc55bc9d1729ae035596f5c9220」)。

分析によるとこのマルウェアは脅威アクタのコマンド&コントロール(C2: Command and Control)サーバからのコマンドにより、ファイルのアップロード、ダウンロード、シェルの実行、構成の更新、ファイルの削除、システムを休止状態またはスリープに移行させることができるという。

Greg Lesnewich氏は、脅威グループ「TA444」がこうしたmacOS向けマルウェアと共に猛烈な勢いで活動しているとして、macOSの利用者に注意を呼びかけている。また、ブログで、マルウェア研究・検知ツール「Yara」のルールが公開されており、感染が疑われる場合はこのルールをマルウェアの検出に活用することが望まれている。