Подкрепяният от севернокорейската държава АТР, известен като TA444, се завръща с нов лъскав зловреден софтуер, насочен към потребителите на macOS, наречен „SpectralBlur“. Персонализираният инструмент е най-новият от поредицата собствени зловредни програми, които групата за напреднали постоянни заплахи (APT) генерира постоянно – черта, която я отличава от други заплахи, спонсорирани от КНДР.

Според изследователя на заплахи от Proofpoint Грег Лесневич TA444 (известна още като APT38, BlueNoroff, BlackAlicanto, Coperenicum, Sapphire Sleet и Stardust Chollima) е дебютирала със зловредния софтуер SpectralBlur през август. Това е „умерено способна задна врата, която може да качва/изтегля файлове, да стартира шел, да актуализира конфигурацията си, да изтрива файлове, да хибернира или да спи въз основа на команди, издадени от [сървъра за управление и контрол]“, обясни той в публикация в личния си блог тази седмица.

TA444 често се припокрива с добре известния си братовчед APT, Lazarus Group. Например Лесневич отбеляза, че зловредният софтуер SpectralBlur съдържа в кода си подобни низове като крадеца на данни за macOS KandyKorn, който се появи в началото на ноември в кампании на Lazarus Group, използвани за насочване към блокчейн инженери, свързани с борси за криптовалути. Впоследствие Proofpoint успя да свърже KandyKorn и с TA444 чрез анализ на фишинг кампания.

SpectralBlur е само най-новият инструмент, предназначен за преследване на потребители на macOS, които се превръщат в особен фокус за севернокорейските нападатели от националната държава. „TA444 продължава да работи бързо и яростно с тези нови семейства зловреден софтуер за macOS“, пише Lesnewich.

В по-ранен анализ на Proofpoint се посочва, че създаването на зловреден софтуер – особено под формата на задни врати след експлоатиране като SpectralBlur и KandyKorn – е мястото, където TA444 наистина се отличава, което предполага, че „наред с операторите на TA444 има вграден или поне посветен на разработката на зловреден софтуер елемент“.