RustDoor Backdoor

یک درب پشتی تازه کشف شده macOS، کدگذاری شده در Rust، به گروه‌های باج‌افزار معروف Black Basta و Alphv/BlackCat مرتبط شده است. این بدافزار که RustDoor نام دارد، ظاهراً ویژوال استودیو از هر دو معماری اینتل و Arm پشتیبانی می کند و از نوامبر 2023 در حال پخش است و برای چندین ماه از شناسایی فرار می کند.

محققان نسخه‌های مختلفی از RustDoor را شناسایی کرده‌اند که همگی عملکردهای درب پشتی مشابهی با تفاوت‌های جزئی دارند. همه این گونه‌ها از طیف وسیعی از دستورات برای برداشت و برداشت فایل و همچنین جمع‌آوری اطلاعات مربوط به دستگاه آلوده پشتیبانی می‌کنند. سپس داده‌های جمع‌آوری‌شده به یک سرور Command-and-Control (C&C) منتقل می‌شود، جایی که شناسه قربانی تولید می‌شود و در ارتباطات بعدی مورد استفاده قرار می‌گیرد.

RustDoor Backdoor قابلیت‌های ناامن خود را توسعه داده است

به نظر می رسد نسخه اولیه RustDoor Backdoor که در نوامبر 2023 شناسایی شد، به عنوان نسخه آزمایشی عمل کرده است. فاقد مکانیزم پایداری جامع بود و دارای یک فایل plist "تست" بود.

نوع دوم، که تصور می‌شود یک ماه بعد ظاهر شد، فایل‌های بزرگ‌تری داشت و شامل یک پیکربندی پیچیده JSON و یک اسکریپت اپل بود که برای استخراج اسناد خاص از پوشه‌های Documents و Desktop و یادداشت‌های کاربر طراحی شده بود.

بدافزار پس از استقرار در سیستم‌های در معرض خطر، اسناد و داده‌های هدف را در یک پوشه مخفی کپی می‌کند و آنها را در یک آرشیو ZIP فشرده می‌کند و سپس آنها را به سرور Command-and-Control (C&C) منتقل می‌کند. برخی از پیکربندی‌ها دستورالعمل‌های جمع‌آوری داده‌ها را مشخص می‌کنند، مانند حداکثر اندازه و تعداد فایل‌ها، فهرست‌های پسوندها و دایرکتوری‌های هدف، یا فهرست‌هایی که باید حذف شوند. محققان همچنین دریافتند که فایل پیکربندی RustDoor امکان جعل هویت برنامه‌های مختلف را فراهم می‌کند و گزینه‌هایی برای سفارشی کردن گفتگوی رمز عبور مدیر جعلی وجود دارد.

پیکربندی JSON به چهار مکانیسم پایداری ارجاع می‌دهد، از cronjobs، LaunchAgents (که منجر به اجرا در هنگام ورود می‌شود)، تغییر یک فایل برای اطمینان از اجرا پس از باز کردن یک جلسه ZSH جدید و افزودن باینری به داک.

نوع سوم درب پشتی کشف شده است و به نظر می رسد نسخه اصلی باشد. فاقد پیچیدگی، اسکریپت اپل و پیکربندی جاسازی شده موجود در سایر انواع RustDoor است.

این بدافزار از سه سرور C&C استفاده می‌کند که قبلاً به کمپین‌های باج‌افزار Black Basta و Alphv/BlackCat مرتبط شده‌اند. BlackCat، اولین باج افزار رمزگذاری فایل در زبان برنامه نویسی Rust، در سال 2021 ظاهر شد و در دسامبر 2023 برچیده شد.

حملات بدافزار پشتی ممکن است عواقب شدیدی برای قربانیان داشته باشد

وجود بدافزار backdoor در دستگاه‌های کاربران خطرات مهم و متنوعی را به همراه دارد، زیرا دسترسی غیرمجاز را به عوامل مخرب می‌دهد. در اینجا برخی از خطرات بالقوه مرتبط با آلوده شدن دستگاه های کاربران به بدافزارهای پشتی آورده شده است:

• دسترسی و کنترل غیرمجاز : درهای پشتی یک نقطه ورود مخفی برای مهاجمان فراهم می کند و به آنها اجازه می دهد تا به دستگاه آلوده دسترسی غیرمجاز داشته باشند. هنگامی که وارد می شوند، می توانند کنترل عملکردهای مختلف را در دست بگیرند، فایل ها را دستکاری کنند و دستورات را بدون اطلاع یا رضایت کاربر اجرا کنند.
• سرقت و استخراج داده ها : درهای پشتی اغلب امکان سرقت و استخراج داده های حساس ذخیره شده در دستگاه در معرض خطر را فراهم می کنند. مهاجمان می‌توانند به اطلاعات شخصی، داده‌های مالی، اعتبار ورود به سیستم و سایر داده‌های محرمانه دسترسی پیدا کنند که منجر به سرقت هویت، ضرر مالی یا نقض حریم خصوصی می‌شود.
• جاسوسی و نظارت : بدافزار Backdoor معمولاً با فعالیت‌های جاسوسی مرتبط است. مهاجمان می توانند از درب پشتی برای جاسوسی از کاربران، نظارت بر فعالیت های آنها، گرفتن اسکرین شات، ضبط ضربه های کلید و حتی دسترسی به وب کم یا میکروفون استفاده کنند و حریم خصوصی کاربران را به خطر بیندازند.
• استقرار باج افزار : درهای پشتی گاهی به عنوان دروازه ای برای استقرار باج افزار استفاده می شوند. هنگامی که مهاجمان از طریق یک درب پشتی دسترسی پیدا می کنند، ممکن است فایل های کاربر را رمزگذاری کنند و برای آزادی آنها باج بخواهند، که باعث اختلال و ضرر مالی قابل توجهی می شود.
• دستکاری و اختلال در سیستم : درهای پشتی می توانند به مهاجمان اجازه دهند تنظیمات سیستم را دستکاری کنند، عملکردهای عادی را مختل کنند یا حتی اقدامات امنیتی را غیرفعال کنند. این می تواند منجر به بی ثباتی سیستم و خرابی شود و استفاده موثر از دستگاه های خود را برای کاربران چالش برانگیز کند.
• انتشار و گسترش شبکه : برخی از درهای پشتی قابلیت خودتکثیر دارند که به آنها اجازه می دهد در سراسر شبکه ها پخش شوند و دستگاه های دیگر را آلوده کنند. این می تواند منجر به به خطر افتادن کل شبکه ها شود و بر چندین کاربر و سازمان تأثیر بگذارد.
• امنیت شبکه به خطر افتاده : از درهای پشتی می توان برای دور زدن اقدامات امنیتی شبکه استفاده کرد و نفوذ مهاجمان به شبکه های سازمانی گسترده تر را آسان تر می کند. این می تواند منجر به نقض امنیتی اضافی شود و یکپارچگی اطلاعات حساس شرکتی یا دولتی را به خطر بیندازد.

برای کاهش این خطرات، برای کاربران بسیار مهم است که از اقدامات امنیتی سایبری قوی استفاده کنند، از جمله به روز رسانی منظم نرم افزار، استفاده از برنامه های آنتی ویروس معتبر، و انجام رفتارهای آنلاین ایمن برای جلوگیری از قربانی شدن در حملات بدافزارهای پشتی. علاوه بر این، سازمان‌ها باید پروتکل‌های امنیتی قوی شبکه را برای شناسایی و رسیدگی سریع به تهدیدات احتمالی پیاده‌سازی کنند.