RustDoor 백도어

Rust로 코딩된 새로 발견된 macOS 백도어는 잘 알려진 랜섬웨어 그룹인 Black Basta 및 Alphv/BlackCat과 연결되어 있습니다. RustDoor라고 명명된 이 악성코드는 Visual Studio가 Intel과 Arm 아키텍처를 모두 지원하는 것처럼 가장하며 2023년 11월부터 유포되어 수개월 동안 탐지를 회피했습니다.

연구원들은 RustDoor의 다양한 버전을 확인했는데, 모두 약간의 차이는 있지만 동일한 백도어 기능을 공유하고 있습니다. 이러한 변종은 모두 파일 수집 및 추출을 위한 다양한 명령을 지원하고 감염된 장치에 대한 정보를 수집합니다. 수집된 데이터는 명령 및 제어(C&C) 서버로 전송되며, 여기서 피해자 ID가 생성되어 후속 통신에 활용됩니다.

RustDoor 백도어는 안전하지 않은 기능을 발전시켜 왔습니다

2023년 11월에 발견된 RustDoor 백도어의 초기 버전은 테스트 릴리스로 기능한 것으로 보입니다. 포괄적인 지속성 메커니즘이 부족했으며 '테스트' plist 파일이 특징이었습니다.

한 달 후에 등장한 것으로 추정되는 두 번째 변종은 더 큰 파일을 포함하고 있으며 정교한 JSON 구성과 문서 및 데스크톱 폴더 및 사용자 메모에서 특정 문서를 추출하도록 설계된 Apple 스크립트를 포함하고 있습니다.

손상된 시스템에 정착하면 악성코드는 대상 문서와 데이터를 숨겨진 폴더에 복사하고 이를 ZIP 아카이브로 압축한 다음 명령 및 제어(C&C) 서버로 전송합니다. 일부 구성에서는 최대 파일 크기 및 수, 대상 확장 프로그램 및 디렉터리 목록, 제외할 디렉터리와 같은 데이터 수집 지침을 지정합니다. 연구원들은 또한 RustDoor의 구성 파일이 스푸핑된 관리자 비밀번호 대화 상자를 사용자 정의하는 옵션과 함께 다양한 애플리케이션의 가장을 허용한다는 사실을 발견했습니다.

JSON 구성은 cronjob, LaunchAgent(로그인 시 실행)를 활용하고, 새 ZSH 세션을 열 때 실행을 보장하도록 파일을 수정하고, 도크에 바이너리를 추가하는 네 가지 지속성 메커니즘을 참조합니다.

세 번째 백도어 변종이 발견되었으며 이는 원본인 것으로 보입니다. 다른 RustDoor 변형에 존재하는 복잡성, Apple 스크립트 및 내장 구성이 부족합니다.

이 악성코드는 이전에 Black Basta 및 Alphv/BlackCat 랜섬웨어 캠페인에 연결되었던 3개의 C&C 서버를 활용합니다. Rust 프로그래밍 언어의 최초 파일 암호화 랜섬웨어인 BlackCat은 2021년에 등장하여 2023년 12월에 해체되었습니다.

백도어 악성 코드 공격은 피해자에게 심각한 영향을 미칠 수 있습니다

사용자 장치에 백도어 악성 코드가 존재하면 악의적인 행위자에게 무단 액세스 권한을 부여하므로 심각하고 다양한 위험을 초래할 수 있습니다. 사용자 장치가 백도어 악성 코드에 감염될 경우 발생할 수 있는 몇 가지 위험은 다음과 같습니다.

• 무단 액세스 및 제어 : 백도어는 공격자에게 비밀 진입점을 제공하여 감염된 장치에 대한 무단 액세스를 허용합니다. 일단 내부로 들어가면 사용자가 알지 못하거나 동의하지 않고도 다양한 기능을 제어하고, 파일을 조작하고, 명령을 실행할 수 있습니다.
• 데이터 도난 및 유출 : 백도어는 손상된 장치에 저장된 중요한 데이터를 도난 및 유출할 수 있는 경우가 많습니다. 공격자는 개인 정보, 금융 데이터, 로그인 자격 증명 및 기타 기밀 데이터에 접근하여 잠재적인 신원 도용, 재정적 손실 또는 개인 정보 침해로 이어질 수 있습니다.
• 간첩 및 감시 : 백도어 악성 코드는 일반적으로 간첩 활동과 관련이 있습니다. 공격자는 백도어를 사용하여 사용자를 감시하고, 활동을 모니터링하고, 스크린샷을 캡처하고, 키 입력을 기록하고, 심지어 웹캠이나 마이크에 액세스하여 사용자의 개인 정보를 침해할 수 있습니다.
• 랜섬웨어 배포 : 백도어는 때때로 랜섬웨어 배포를 위한 게이트웨이로 사용됩니다. 공격자가 백도어를 통해 액세스 권한을 얻으면 사용자의 파일을 암호화하고 파일 공개에 대한 대가를 요구하여 상당한 혼란과 재정적 손실을 초래할 수 있습니다.
• 시스템 조작 및 중단 : 백도어를 사용하면 공격자가 시스템 설정을 조작하고 정상적인 작동을 방해하거나 보안 조치를 비활성화할 수도 있습니다. 이로 인해 시스템이 불안정해지고 충돌이 발생하여 사용자가 장치를 효과적으로 사용하는 것이 어려워질 수 있습니다.
• 전파 및 네트워크 확산 : 일부 백도어에는 자체 복제 기능이 있어 네트워크를 통해 확산되어 다른 장치를 감염시킬 수 있습니다. 이로 인해 전체 네트워크가 손상되어 여러 사용자와 조직에 영향을 미칠 수 있습니다.
• 손상된 네트워크 보안 : 백도어를 사용하면 네트워크 보안 조치를 우회할 수 있으므로 공격자가 더 광범위한 조직 네트워크에 침투하기가 더 쉬워집니다. 이로 인해 추가적인 보안 침해가 발생하고 민감한 기업 또는 정부 정보의 무결성이 손상될 수 있습니다.

이러한 위험을 완화하려면 사용자가 정기적인 소프트웨어 업데이트, 평판이 좋은 바이러스 백신 프로그램 사용, 백도어 악성 코드 공격의 피해자가 되지 않도록 안전한 온라인 행동 실천 등 강력한 사이버 보안 조치를 취하는 것이 중요합니다. 또한 조직은 잠재적인 위협을 즉시 감지하고 처리하기 위해 강력한 네트워크 보안 프로토콜을 구현해야 합니다.