SPECTRALBLUR, NUEVA PUERTA TRASERA DIRIGIDA A MACOS
24/04/2024
Descripción
El grupo de amenazas persistentes avanzadas (APT) TA444 también conocido como APT38, BlueNoroff, BlackAlicanto, Coperenicum, Sapphire Sleet y Stardust Chollima es patrocinado por el estado de Corea del Norte enfocado en la adquisición de fondos a través de la criptomoneda, se encuentra distribuyendo el backdoor llamado “SpectralBlur” el cual está diseñado específicamente para MacOS.
SpectralBlur comparte similitudes con KANDYKORN que funciona como un troyano de acceso remoto capaz de tomar el control de un host comprometido.
Este backdoor se destaca ya que intenta de obstaculizar el análisis y evadir la detección mientras utiliza la función Grantpt para ejecutar comandos Shell recibidos por el servidor de comando y control C2, adicionalmente cuenta con las capacidades de cargar/descargar archivos, actualizar su configuración, eliminar archivos, hibernar o suspender dependiendo de las órdenes del C2.
Vector de infección
Se infiere que esta amenaza se puede distribuir a través de diversas técnicas, como correos tipo phishing apoyados con técnicas de ingeniería social, archivos adjuntos maliciosos; adicional a esto, la descarga de software desde sitios web fraudulentos, con el objetivo de que los usuarios descarguen y ejecuten la carga útil de SpectralBlur.
Recomendaciones
SpectralBlur puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:
- Implementar la autenticación de doble factor (2FA) o autenticación multifactor (MFA) para reforzar la seguridad de las cuentas de usuario.
- Mantener copias de seguridad actualizadas de los datos críticos y almacenarlas de forma segura fuera de la red principal.
- Brindar capacitación continua a los empleados y usuarios sobre las últimas amenazas cibernéticas y cómo reconocer correos electrónicos de phishing y otros vectores de ataque.
- Tener especial cuidado con mensajes de correo electrónico u otras comunicaciones que pretenden suplantar entidades, ya que están siendo utilizados para la distribución de backdoor como SpectralBlur.
Leer noticia: https://thehackernews.com/2024/01/spectralblur-new-macos-backdoor-threat.html