Multi-License Discount Quote
Grėsmių duomenų bazė Mac Malware RustDoor Backdoor

RustDoor Backdoor

Autorius Mezo, Mac Malware, Backdoors
Versti į:
Lietuvių

Naujai atrastos „MacOS“ užpakalinės durys, užkoduotos „Rust“, buvo susietos su gerai žinomomis išpirkos programų grupėmis „Black Basta“ ir „Alhv/BlackCat“. Kenkėjiška programa, pavadinta „RustDoor“, rodo, kad „Visual Studio“ palaiko „Intel“ ir „Arm“ architektūras ir cirkuliuoja nuo 2023 m. lapkričio mėn., todėl kelis mėnesius pavyko išvengti aptikimo.

Tyrėjai nustatė įvairias „RustDoor“ versijas, kurios dalijasi ta pačia galinių durų funkcija su nedideliais skirtumais. Visi šie variantai palaiko daugybę failų rinkimo ir išfiltravimo komandų, taip pat informacijos apie užkrėstą įrenginį rinkimo. Tada surinkti duomenys perduodami į komandų ir valdymo (C&C) serverį, kur sugeneruojamas aukos ID ir naudojamas tolesniam ryšiui.

„RustDoor Backdoor“ keitė savo nesaugias galimybes

Atrodo, kad pradinė „RustDoor Backdoor“ versija, aptikta 2023 m. lapkritį, veikė kaip bandomoji versija. Jame trūko išsamaus patvarumo mechanizmo ir buvo „bandomasis“ plist failas.

Antrasis variantas, kuris, kaip manoma, pasirodė po mėnesio, turėjo didesnius failus ir sudėtingą JSON konfigūraciją bei „Apple“ scenarijų, skirtą konkretiems dokumentams iš aplankų „Dokumentai“ ir „Desktop“ bei vartotojo pastabų išfiltruoti.

Kai kenkėjiška programa įsitvirtina pažeistose sistemose, ji nukopijuoja tikslinius dokumentus ir duomenis į paslėptą aplanką, suspaudžia juos į ZIP archyvą ir perduoda į komandų ir valdymo (C&C) serverį. Kai kuriose konfigūracijose nurodomos duomenų rinkimo instrukcijos, pvz., maksimalus failų dydis ir skaičius, taikomų plėtinių ir katalogų sąrašai arba katalogai, kuriuos reikia išskirti. Tyrėjai taip pat išsiaiškino, kad „RustDoor“ konfigūracijos failas leidžia apsimesti įvairiomis programomis ir pasirinkti suklastotą administratoriaus slaptažodžio dialogo langą.

JSON konfigūracija nurodo keturis patvarumo mechanizmus, naudojančius cronjobs, LaunchAgents (kuriuos rezultatas vykdomas prisijungus), modifikuojant failą, kad būtų užtikrintas vykdymas atidarius naują ZSH seansą ir pridėjus dvejetainį failą prie doko.

Buvo rastas trečias užpakalinių durų variantas, kuris, atrodo, yra originalus. Jam trūksta sudėtingumo, „Apple“ scenarijaus ir įterptosios konfigūracijos, esančios kituose „RustDoor“ variantuose.

Kenkėjiška programa naudoja tris C&C serverius, anksčiau susietus su Black Basta ir Alphv/BlackCat Ransomware kampanijomis. „BlackCat“, pirmoji „Rust“ programavimo kalba failus šifruojanti išpirkos reikalaujanti programa, pasirodė 2021 m., o buvo išardyta 2023 m. gruodžio mėn.

„Backdoor“ kenkėjiškų programų atakos gali turėti rimtų pasekmių aukoms

Užpakalinių durų kenkėjiškų programų buvimas vartotojų įrenginiuose kelia didelį ir įvairų pavojų, nes suteikia neteisėtą prieigą kenkėjiškiems veikėjams. Štai keli galimi pavojai, susiję su vartotojų įrenginių užkrėtimu užpakalinių durų kenkėjiška programa:

  • Neteisėta prieiga ir valdymas : Užpakalinės durys suteikia slaptą įėjimo tašką užpuolikams, leidžiančius jiems gauti neteisėtą prieigą prie užkrėsto įrenginio. Patekę į vidų, jie gali valdyti įvairias funkcijas, manipuliuoti failais ir vykdyti komandas be vartotojo žinios ar sutikimo.
  • Duomenų vagystė ir išfiltravimas : Užpakalinės durys dažnai leidžia pavogti ir išfiltruoti slaptus duomenis, saugomus pažeistame įrenginyje. Užpuolikai gali pasiekti asmeninę informaciją, finansinius duomenis, prisijungimo kredencialus ir kitus konfidencialius duomenis, dėl kurių gali būti pavogta tapatybė, galimi finansiniai nuostoliai ar privatumo pažeidimai.
  • Šnipinėjimas ir stebėjimas : „Backdoor“ kenkėjiška programa dažniausiai siejama su šnipinėjimo veikla. Užpuolikai gali naudoti užpakalines duris, kad galėtų šnipinėti vartotojus, stebėti jų veiklą, fiksuoti ekrano kopijas, įrašyti klavišų paspaudimus ir netgi pasiekti internetines kameras ar mikrofonus, taip pakenkdami vartotojų privatumui.
  • Išpirkos reikalaujančios programinės įrangos diegimas : Backdoors kartais naudojamos kaip vartai diegiant išpirkos reikalaujančią programinę įrangą. Kai užpuolikai gauna prieigą per užpakalines duris, jie gali užšifruoti vartotojo failus ir reikalauti išpirkos už jų išleidimą, sukeldami didelių trikdžių ir finansinių nuostolių.
  • Sistemos manipuliavimas ir trikdymas : Užpakalinės durys gali leisti užpuolikams manipuliuoti sistemos nustatymais, sutrikdyti įprastas operacijas ar net išjungti saugos priemones. Tai gali sukelti sistemos nestabilumą ir gedimus, todėl vartotojams gali būti sudėtinga efektyviai naudoti savo įrenginius.
  • Platinimas ir tinklo plitimas : kai kurios užpakalinės durys turi savaiminio atkartojimo galimybes, todėl jos gali plisti tinkluose ir užkrėsti kitus įrenginius. Dėl to gali būti pažeisti ištisi tinklai, paveikti kelis vartotojus ir organizacijas.
  • Pažeista tinklo sauga : užpakalinės durys gali būti naudojamos siekiant apeiti tinklo saugos priemones, todėl užpuolikai gali lengviau įsiskverbti į platesnius organizacijos tinklus. Tai gali sukelti papildomų saugumo pažeidimų ir pažeisti neskelbtinos įmonės ar vyriausybės informacijos vientisumą.

Siekiant sumažinti šią riziką, labai svarbu, kad vartotojai naudotų tvirtas kibernetinio saugumo priemones, įskaitant reguliarius programinės įrangos atnaujinimus, patikimų antivirusinių programų naudojimą ir saugų elgesį internete, kad netaptų užpakalinių kenkėjiškų programų atakų aukomis. Be to, organizacijos turėtų įdiegti stiprius tinklo saugos protokolus, kad galėtų greitai aptikti ir valdyti galimas grėsmes.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
33,031
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...