Задна врата на RustDoor

Новооткрита задна врата на macOS, кодирана в Rust, е свързана с добре известни групи за рансъмуер Black Basta и Alphv/BlackCat. Наречен RustDoor, зловреден софтуер представя, че Visual Studio поддържа както Intel, така и Arm архитектури и циркулира от ноември 2023 г., като успява да избегне откриването в продължение на няколко месеца.

Изследователите са идентифицирали различни версии на RustDoor, всички споделящи една и съща функционалност на задната врата с малки разлики. Всички тези варианти поддържат набор от команди за събиране на файлове и ексфилтриране, както и събиране на информация за заразеното устройство. След това събраните данни се предават на сървър за командване и управление (C&C), където се генерира идентификатор на жертва и се използва в последващи комуникации.

Задната вратичка на RustDoor развива опасните си възможности

Първоначалната версия на RustDoor Backdoor, открита през ноември 2023 г., изглежда е функционирала като тестова версия. Липсваше му изчерпателен механизъм за устойчивост и включваше „тестов“ plist файл.

Вторият вариант, за който се смята, че се появи месец по-късно, имаше по-големи файлове и включваше сложна JSON конфигурация и скрипт на Apple, предназначен за ексфилтриране на конкретни документи от папките Documents и Desktop и бележките на потребителя.

След като се установи в компрометирани системи, зловредният софтуер копира целеви документи и данни в скрита папка, компресира ги в ZIP архив и след това ги предава на сървъра за командване и управление (C&C). Някои конфигурации определят инструкции за събиране на данни, като максимален размер и брой файлове, списъци с целеви разширения и директории или директории за изключване. Изследователите също така откриха, че конфигурационният файл на RustDoor позволява имитирането на различни приложения, с опции за персонализиране на диалогов прозорец за подправена администраторска парола.

Конфигурацията на JSON препраща към четири механизма за устойчивост, използвайки cronjobs, LaunchAgents (което води до изпълнение при влизане), модифициране на файл, за да се гарантира изпълнение при отваряне на нова ZSH сесия и добавяне на двоичния файл към дока.

Открит е трети вариант на задната врата и изглежда, че е оригиналният. Липсва му сложността, скриптът на Apple и вградената конфигурация, присъстващи в други варианти на RustDoor.

Зловреден софтуер използва три C&C сървъра, преди това свързани с кампаниите Black Basta и Alphv/BlackCat Ransomware. BlackCat, първият рансъмуер за криптиране на файлове на езика за програмиране Rust, се появи през 2021 г. и беше демонтиран през декември 2023 г.

Атаките със злонамерен софтуер със задна врата може да имат тежки последствия за жертвите

Наличието на заден злонамерен софтуер на устройствата на потребителите крие значителни и разнообразни опасности, тъй като предоставя неоторизиран достъп на злонамерени участници. Ето някои потенциални опасности, свързани със заразяването на устройствата на потребителите със злонамерен софтуер със задна врата:

• Неоторизиран достъп и контрол : Задните врати осигуряват тайна входна точка за нападателите, позволявайки им да получат неоторизиран достъп до заразеното устройство. Веднъж вътре, те могат да контролират различни функции, да манипулират файлове и да изпълняват команди без знанието или съгласието на потребителя.
• Кражба и ексфилтрация на данни : Задните врати често позволяват кражба и ексфилтрация на чувствителни данни, съхранявани на компрометираното устройство. Нападателите могат да получат достъп до лична информация, финансови данни, идентификационни данни за вход и други поверителни данни, което води до потенциална кражба на самоличност, финансова загуба или нарушаване на поверителността.
• Шпионаж и наблюдение : Злонамереният софтуер със задни вратички обикновено се свързва с шпионски дейности. Нападателите могат да използват задната врата, за да шпионират потребителите, да наблюдават техните дейности, да заснемат екранни снимки, да записват натискания на клавиши и дори да имат достъп до уеб камери или микрофони, компрометирайки поверителността на потребителите.
• Внедряване на рансъмуер : Backdoors понякога се използват като шлюз за внедряване на рансъмуер. След като нападателите получат достъп през задна врата, те могат да криптират файловете на потребителя и да поискат откуп за освобождаването им, причинявайки значителни смущения и финансови загуби.
• Манипулиране и нарушаване на системата : Задните врати могат да позволят на нападателите да манипулират системните настройки, да нарушат нормалните операции или дори да деактивират мерките за сигурност. Това може в крайна сметка да доведе до нестабилност на системата и сривове и да затрудни потребителите да използват ефективно своите устройства.
• Разпространение и мрежово разпространение : Някои задни вратички имат способности за самовъзпроизвеждане, което им позволява да се разпространяват в мрежи и да заразяват други устройства. Това може да доведе до компрометиране на цели мрежи, засягайки множество потребители и организации.
• Компрометирана мрежова сигурност : Задните врати могат да се използват за заобикаляне на мерките за мрежова сигурност, което улеснява нападателите да проникнат в по-широки организационни мрежи. Това може да доведе до допълнителни пробиви в сигурността и компрометиране на целостта на чувствителна корпоративна или правителствена информация.

За да смекчат тези рискове, за потребителите е от решаващо значение да използват стабилни мерки за киберсигурност, включително редовни актуализации на софтуера, използване на реномирани антивирусни програми и практикуване на безопасно онлайн поведение, за да избегнат да станат жертва на атаки на злонамерен софтуер от задната врата. Освен това организациите трябва да прилагат силни протоколи за мрежова сигурност, за да откриват и да се справят с потенциални заплахи своевременно.