RustyBuer malware

RustyBuer blev opdaget af sikkerhedsforskere og er en ny version af Buer malware loader. Den oprindelige trussel blev først observeret tilbage i 2019, da den blev gjort tilgængelig for køb på underjordiske hackerfora. Buer fungerer som en indledende nyttelast, der skaber fodfæste for det målrettede system og fortsætter med at eskalere angrebet med levering af malware-trusler i næste trin. Den nyere version bevarer den samme funktionalitet, idet den vigtigste differentierende faktor er, at den er skrevet på Rust-programmeringssproget.

Gendannelsen af eksisterende malware-trusler ved hjælp af nyere og mindre etablerede programmeringssprog er en relativt ny tendens blandt cyberkriminelle. Dette gør det muligt for dem at undgå signaturbaserede sikkerhedsløsninger mod malware, der let kan opdage de originale versioner af truslerne. På samme tid reducerer det behovet for at frigive truslen drastisk sammenlignet med alternativet at skulle opbygge en helt ny malware.

RustyBuer's Attack Chain

I rækken af angreb, der involverede RustyBuer-malware, formidlede trusselaktørerne e-mails, der foregav at komme fra det internationale logistikfirma DHL. For at tilføje mere legitimitet til de falske mails inkluderede hackerne logoerne fra flere cybersikkerhedsudbydere. Teksten i de falske e-mails instruerer det målrettede offer om at åbne den vedhæftede fil, normalt et våbenet Word- eller Excel-dokument. Den beskadigede fil indeholder en makro, der leverer RustyBuer-truslen til systemet. For at undgå afsløring fra slutpunktssikkerhedsløsninger anvender makroen en applikationsomgåelse.

En gang inde i offerets enhed kontrollerer RustyBuer miljøet for tegn på virtualisering. Derefter udfører den en geolokaliseringskontrol for at afgøre, om brugeren er fra et specifikt CIS-land (Commonwealth of Independent States), og hvis der findes et match, afsluttes malwareens udførelse. RustyBuer opretter også en persistensmekanisme via en LNK-fil, der startes på hver systemstart.

Næste-trins nyttelast

Analyse af de nylige angrebskampagner, der implementerer RustyBuer, afslørede, at truslen for det meste er i overensstemmelse med den adfærd, der tidligere blev observeret i Buer - trusselsaktørerne droppede et koboltstrike-fyr på de brudte systemer. Cobalt Strike er et legitimt penetrationsprøvningsværktøj, der ofte udnyttes af trusselaktører, der inkorporerer det i deres truende operationer.

I nogle tilfælde, efter at RustyBuer blev etableret på systemerne, eskalerede trusselsaktørerne ikke skuespilleren, og der blev ikke registreret nogen anden-trins nyttelast. Forskerne mener, at han er et tegn på trusselsaktørerne, der forsøger at drive en access-as-a-service-ordning, der tilbyder at sælge adgangen til infektionerne efter infektion til andre cyberkriminelle grupper.

Det skal også bemærkes, at eksistensen af en liste over begrænsede lande fra SNG-regionen indikerer, at operatørerne af RustyBuer potentielt kunne have bånd til Rusland.