RustDoor hátsó ajtó

Egy újonnan felfedezett, Rust kódolású MacOS hátsó ajtót a jól ismert Black Basta és Alphv/BlackCat ransomware csoportokhoz kapcsoltak. A RustDoor névre keresztelt kártevő azt állítja, hogy a Visual Studio támogatja az Intel és az Arm architektúrákat is, és 2023 novembere óta kering, és több hónapig sikerült elkerülnie az észlelést.

A kutatók a RustDoor különféle verzióit azonosították, amelyek mindegyike ugyanazt a hátsó ajtó funkciót használja, kisebb eltérésekkel. Ezek a változatok egy sor parancsot támogatnak a fájlok begyűjtésére és kiszűrésére, valamint információk gyűjtésére a fertőzött eszközről. Az összegyűjtött adatokat ezután egy Command-and-Control (C&C) szerverre továbbítják, ahol áldozatazonosítót generálnak és felhasználják a későbbi kommunikációban.

A RustDoor hátsó ajtó továbbfejlesztette nem biztonságos képességeit

A RustDoor Backdoor kezdeti verziója, amelyet 2023 novemberében észleltek, úgy tűnik, tesztkiadásként működött. Hiányzott belőle egy átfogó perzisztencia-mechanizmus, és tartalmazott egy „teszt” plist fájlt.

A második változat, amely feltehetően egy hónappal később jelent meg, nagyobb fájlokat tartalmazott, és kifinomult JSON-konfigurációt és egy Apple-szkriptet tartalmazott, amelyet arra terveztek, hogy bizonyos dokumentumokat kiszűrjenek a Dokumentumok és az Asztal mappáiból, valamint a felhasználó jegyzeteiből.

Amikor a kártevő feltört rendszereken telepedett le, a célzott dokumentumokat és adatokat egy rejtett mappába másolja, ZIP-archívumba tömöríti, majd továbbítja a Command-and-Control (C&C) szerverre. Egyes konfigurációk adatgyűjtési utasításokat adnak meg, például a fájlok maximális méretét és számát, a célzott kiterjesztések és könyvtárak listáját vagy a kizárandó könyvtárakat. A kutatók azt is megállapították, hogy a RustDoor konfigurációs fájlja lehetővé teszi a különböző alkalmazások megszemélyesítését, és testreszabhatja a hamisított rendszergazdai jelszó párbeszédpanelt.

A JSON-konfiguráció négy perzisztencia-mechanizmusra hivatkozik, amelyek cronjobokat használnak, LaunchAgents (amely a bejelentkezéskor végrehajtást eredményez), egy fájl módosítása, hogy biztosítsa a végrehajtást egy új ZSH-munkamenet megnyitásakor, és a bináris hozzáadása a dokkolóhoz.

Egy harmadik hátsó ajtós változatot fedeztek fel, és úgy tűnik, ez az eredeti. Hiányzik belőle a többi RustDoor-változat összetettsége, Apple-szkriptje és beágyazott konfigurációja.

A kártevő három C&C szervert használ, amelyek korábban a Black Basta és az Alphv/BlackCat Ransomware kampányokhoz kapcsolódnak. A BlackCat, az első fájltitkosító ransomware a Rust programnyelven, 2021-ben jelent meg, és 2023 decemberében leszerelték.

A Backdoor malware támadások súlyos következményekkel járhatnak az áldozatokra nézve

A backdoor malware jelenléte a felhasználók eszközein jelentős és változatos veszélyeket rejt magában, mivel illetéktelen hozzáférést biztosít a rosszindulatú szereplőknek. Íme néhány lehetséges veszély, amely azzal jár, ha a felhasználók eszközei megfertőződnek a hátsó ajtón futó kártevőkkel:

• Jogosulatlan hozzáférés és ellenőrzés : A hátsó ajtók titkos belépési pontot biztosítanak a támadók számára, lehetővé téve számukra, hogy illetéktelenül hozzáférjenek a fertőzött eszközhöz. Bejutva átvehetik az irányítást a különböző funkciók felett, kezelhetik a fájlokat, és parancsokat hajthatnak végre a felhasználó tudta vagy beleegyezése nélkül.
• Adatlopás és kiszűrés : A hátsó ajtók gyakran lehetővé teszik a feltört eszközön tárolt érzékeny adatok ellopását és kiszűrését. A támadók személyes adatokhoz, pénzügyi adatokhoz, bejelentkezési adatokhoz és egyéb bizalmas adatokhoz férhetnek hozzá, ami személyazonosság-lopáshoz, pénzügyi veszteséghez vagy a személyes adatok megsértéséhez vezethet.
• Kémkedés és megfigyelés : A Backdoor rosszindulatú programokat általában a kémtevékenységekhez társítják. A támadók a hátsó ajtón keresztül kémkedhetnek a felhasználók után, figyelemmel kísérhetik tevékenységeiket, képernyőképeket készíthetnek, billentyűleütéseket rögzíthetnek, sőt webkamerákhoz vagy mikrofonokhoz is hozzáférhetnek, ezzel veszélyeztetve a felhasználók magánéletét.
• Ransomware telepítése : A hátsó ajtókat néha átjáróként használják a zsarolóvírusok telepítéséhez. Amint a támadók egy hátsó ajtón keresztül hozzáférnek, titkosíthatják a felhasználó fájljait, és váltságdíjat követelhetnek azok kiadásáért, ami jelentős fennakadást és pénzügyi veszteséget okoz.
• Rendszermanipuláció és zavarás : A hátsó ajtók lehetővé teszik a támadók számára, hogy módosítsák a rendszerbeállításokat, megzavarják a normál működést, vagy akár letiltsák a biztonsági intézkedéseket. Ez a rendszer instabilitásához és összeomlásához vezethet, és kihívást jelenthet a felhasználók számára eszközeik hatékony használatában.
• Terjedés és hálózati terjedés : Egyes hátsó ajtók önreplikáló képességgel rendelkeznek, ami lehetővé teszi számukra, hogy hálózatokon keresztül terjedjenek, és más eszközöket is megfertőzzenek. Ez egész hálózatok kompromittálásához vezethet, ami több felhasználót és szervezetet érint.
• Kompromittált hálózati biztonság : A hátsó ajtók segítségével megkerülhetők a hálózati biztonsági intézkedések, így a támadók könnyebben behatolhatnak a szélesebb szervezeti hálózatokba. Ez további biztonsági megsértésekhez vezethet, és veszélyeztetheti az érzékeny vállalati vagy kormányzati információk integritását.

E kockázatok csökkentése érdekében kulcsfontosságú, hogy a felhasználók robusztus kiberbiztonsági intézkedéseket alkalmazzanak, beleértve a rendszeres szoftverfrissítéseket, jó hírű vírusirtó programok használatát, és biztonságos online viselkedést, hogy elkerüljék a hátsó ajtón futó rosszindulatú támadások áldozatául esését. Ezenkívül a szervezeteknek erős hálózati biztonsági protokollokat kell bevezetniük a potenciális fenyegetések azonnali észlelése és kezelése érdekében.