RustDoor Bagdør

En nyopdaget macOS-bagdør, kodet i Rust, er blevet knyttet til velkendte ransomware-grupper Black Basta og Alphv/BlackCat. Malwaren, som hedder RustDoor, fremstår som Visual Studio, der understøtter både Intel- og Arm-arkitekturer og har cirkuleret siden november 2023, hvor det lykkedes at undgå opdagelse i flere måneder.

Forskere har identificeret forskellige versioner af RustDoor, der alle deler den samme bagdørsfunktionalitet med mindre forskelle. Disse varianter understøtter alle en række kommandoer til filindsamling og -eksfiltrering samt indsamling af information om den inficerede enhed. De indsamlede data overføres derefter til en Command-and-Control-server (C&C), hvor et offer-id genereres og bruges i efterfølgende kommunikation.

RustDoor-bagdøren har udviklet sine usikre muligheder

Den første version af RustDoor Backdoor, opdaget i november 2023, ser ud til at have fungeret som en testudgivelse. Den manglede en omfattende persistensmekanisme og indeholdt en 'test' plist-fil.

Den anden variant, der menes at være dukket op en måned senere, havde større filer og inkluderede en sofistikeret JSON-konfiguration og et Apple-script designet til at eksfiltrere specifikke dokumenter fra mapperne Dokumenter og Desktop og brugerens noter.

Efter at have etableret sig på kompromitterede systemer, kopierer malwaren målrettede dokumenter og data til en skjult mappe, komprimerer dem til et ZIP-arkiv og sender dem derefter til Command-and-Control-serveren (C&C). Nogle konfigurationer specificerer dataindsamlingsinstruktioner, såsom maksimal størrelse og antal filer, lister over målrettede udvidelser og mapper eller mapper, der skal udelukkes. Forskere fandt også ud af, at RustDoors konfigurationsfil giver mulighed for efterligning af forskellige applikationer med muligheder for at tilpasse en forfalsket administratoradgangskodedialog.

JSON-konfigurationen refererer til fire persistensmekanismer, der anvender cronjobs, LaunchAgents (resulterer i udførelse ved login), ændring af en fil for at sikre udførelse ved åbning af en ny ZSH-session og tilføjelse af binæren til docken.

En tredje bagdørsvariant er blevet opdaget, og det ser ud til at være den originale. Det mangler kompleksiteten, Apple-scriptet og den indlejrede konfiguration, der findes i andre RustDoor-varianter.

Malwaren bruger tre C&C-servere, der tidligere var knyttet til Black Basta- og Alphv/BlackCat Ransomware-kampagnerne. BlackCat, den første filkrypterende ransomware i Rust-programmeringssproget, dukkede op i 2021 og blev demonteret i december 2023.

Backdoor Malware-angreb kan have alvorlige følger for ofrene

Tilstedeværelsen af bagdørs-malware på brugernes enheder udgør betydelige og forskellige farer, da det giver uautoriseret adgang til ondsindede aktører. Her er nogle potentielle farer forbundet med at have brugernes enheder inficeret med bagdørs malware:

• Uautoriseret adgang og kontrol : Bagdøre giver et hemmeligt indgangspunkt for angribere, der giver dem mulighed for at få uautoriseret adgang til den inficerede enhed. Når de først er inde, kan de tage kontrol over forskellige funktioner, manipulere filer og udføre kommandoer uden brugerens viden eller samtykke.
• Datatyveri og -eksfiltrering : Bagdøre muliggør ofte tyveri og eksfiltrering af følsomme data, der er gemt på den kompromitterede enhed. Angribere kan få adgang til personlige oplysninger, økonomiske data, login-legitimationsoplysninger og andre fortrolige data, hvilket fører til potentielt identitetstyveri, økonomisk tab eller brud på privatlivets fred.
• Spionage og overvågning : Bagdørs malware er almindeligvis forbundet med spionageaktiviteter. Angribere kan bruge bagdøren til at spionere på brugere, overvåge deres aktiviteter, tage skærmbilleder, optage tastetryk og endda få adgang til webcams eller mikrofoner, hvilket kompromitterer brugernes privatliv.
• Ransomware-implementering : Bagdøre bruges nogle gange som en gateway til implementering af ransomware. Når først angribere får adgang gennem en bagdør, kan de kryptere brugerens filer og kræve en løsesum for deres frigivelse, hvilket forårsager betydelige forstyrrelser og økonomiske tab.
• Systemmanipulation og afbrydelse : Bagdøre kan tillade angribere at manipulere systemindstillinger, forstyrre normal drift eller endda deaktivere sikkerhedsforanstaltninger. Dette kan ende med at føre til systemustabilitet og nedbrud og gøre det udfordrende for brugerne at bruge deres enheder effektivt.
• Udbredelse og netværksspredning : Nogle bagdøre har selvreplikerende egenskaber, hvilket giver dem mulighed for at sprede sig på tværs af netværk og inficere andre enheder. Dette kan resultere i kompromittering af hele netværk, hvilket påvirker flere brugere og organisationer.
• Kompromitteret netværkssikkerhed : Bagdøre kan bruges til at omgå netværkssikkerhedsforanstaltninger, hvilket gør det lettere for angribere at infiltrere bredere organisatoriske netværk. Dette kan føre til yderligere sikkerhedsbrud og kompromittere integriteten af følsomme virksomheds- eller regeringsoplysninger.

For at afbøde disse risici er det afgørende for brugerne at anvende robuste cybersikkerhedsforanstaltninger, herunder regelmæssige softwareopdateringer, brug af velrenommerede antivirusprogrammer og praktisere sikker onlineadfærd for at undgå at blive ofre for bagdørs malware-angreb. Derudover bør organisationer implementere stærke netværkssikkerhedsprotokoller for at opdage og håndtere potentielle trusler omgående.