RustDoor Backdoor

Jaunatklātā MacOS aizmugures durvis, kas kodētas Rust, ir saistītas ar labi zināmām izspiedējvīrusu grupām Black Basta un Alphv/BlackCat. Ļaunprātīgā programmatūra, kas nosaukta par RustDoor, šķiet, ka Visual Studio atbalsta gan Intel, gan Arm arhitektūru, un tā tiek izplatīta kopš 2023. gada novembra, un tā vairākus mēnešus spēj izvairīties no atklāšanas.

Pētnieki ir identificējuši dažādas RustDoor versijas, kurām visām ir viena un tā pati aizmugures durvju funkcionalitāte ar nelielām atšķirībām. Visi šie varianti atbalsta virkni komandu failu ievākšanai un eksfiltrācijai, kā arī informācijas apkopošanai par inficēto ierīci. Pēc tam apkopotie dati tiek pārsūtīti uz Command-and-Control (C&C) serveri, kur tiek ģenerēts upura ID un izmantots turpmākajā saziņā.

RustDoor Backdoor ir attīstījis savas nedrošās iespējas

Sākotnējā RustDoor Backdoor versija, kas tika atklāta 2023. gada novembrī, šķiet, darbojās kā testa laidiens. Tam trūka visaptveroša noturības mehānisma, un tajā bija “testa” plist fails.

Otrajam variantam, kas, domājams, parādījās mēnesi vēlāk, bija lielāki faili, un tajā bija iekļauta sarežģīta JSON konfigurācija un Apple skripts, kas paredzēts konkrētu dokumentu izfiltrēšanai no mapēm Dokumenti un darbvirsma un lietotāja piezīmēm.

Kad ļaunprogrammatūra ir izveidojusies apdraudētās sistēmās, tā kopē atlasītos dokumentus un datus slēptā mapē, saspiež tos ZIP arhīvā un pēc tam pārsūta uz Command-and-Control (C&C) serveri. Dažās konfigurācijās ir norādīti datu vākšanas norādījumi, piemēram, maksimālais failu lielums un skaits, atlasīto paplašinājumu un direktoriju saraksti vai izslēdzamo direktoriju saraksts. Pētnieki arī atklāja, ka RustDoor konfigurācijas fails ļauj uzdoties par dažādām lietojumprogrammām, izmantojot iespējas pielāgot viltotas administratora paroles dialoglodziņu.

JSON konfigurācija atsaucas uz četriem noturības mehānismiem, izmantojot cronjobs, LaunchAgents (kas tiek izpildīts pieteikšanās laikā), modificējot failu, lai nodrošinātu izpildi, atverot jaunu ZSH sesiju, un pievienojot bināro failu dokam.

Ir atklāts trešais aizmugures durvju variants, un šķiet, ka tas ir oriģinālais. Tam trūkst sarežģītības, Apple skripta un iegultās konfigurācijas, kas ir citos RustDoor variantos.

Ļaunprātīgā programmatūra izmanto trīs C&C serverus, kas iepriekš bija saistīti ar Black Basta un Alphv/BlackCat Ransomware kampaņām. BlackCat, pirmais failu šifrēšanas izspiedējvīruss Rust programmēšanas valodā, parādījās 2021. gadā un tika demontēts 2023. gada decembrī.

Aizmugurējās durvis ļaunprātīgas programmatūras uzbrukumiem var būt nopietnas sekas upuriem

Aizmugurējo durvju ļaunprātīgas programmatūras klātbūtne lietotāju ierīcēs rada ievērojamas un dažādas briesmas, jo tā nodrošina nesankcionētu piekļuvi ļaunprātīgiem dalībniekiem. Tālāk ir norādītas dažas iespējamās briesmas, kas saistītas ar lietotāju ierīču inficēšanu ar aizmugures durvju ļaunprātīgu programmatūru.

• Neatļauta piekļuve un kontrole : Aizmugures durvis nodrošina slepenu ieejas punktu uzbrucējiem, ļaujot tiem iegūt nesankcionētu piekļuvi inficētajai ierīcei. Nokļūstot iekšā, viņi var kontrolēt dažādas funkcijas, manipulēt ar failiem un izpildīt komandas bez lietotāja ziņas vai piekrišanas.
• Datu zādzība un izfiltrēšana : aizmugures durvis bieži vien ļauj nozagt un izfiltrēt sensitīvus datus, kas glabājas apdraudētajā ierīcē. Uzbrucēji var piekļūt personas informācijai, finanšu datiem, pieteikšanās akreditācijas datiem un citiem konfidenciāliem datiem, izraisot iespējamu identitātes zādzību, finansiālus zaudējumus vai privātuma pārkāpumus.
• Spiegošana un novērošana : aizmugures durvju ļaunprātīga programmatūra parasti tiek saistīta ar spiegošanas darbībām. Uzbrucēji var izmantot aizmugures durvis, lai izspiegotu lietotājus, pārraudzītu viņu darbības, uzņemtu ekrānuzņēmumus, ierakstītu taustiņu nospiešanu un pat piekļūtu tīmekļa kamerām vai mikrofoniem, tādējādi apdraudot lietotāju privātumu.
• Izspiedējvīrusa izvietošana : aizmugures durvis dažreiz tiek izmantotas kā vārteja izpirkuma programmatūras izvietošanai. Kad uzbrucēji iegūst piekļuvi, izmantojot aizmugures durvis, viņi var šifrēt lietotāja failus un pieprasīt izpirkuma maksu par to atbrīvošanu, radot ievērojamus traucējumus un finansiālus zaudējumus.
• Sistēmas manipulācijas un traucējumi : aizmugures durvis var ļaut uzbrucējiem manipulēt ar sistēmas iestatījumiem, traucēt normālas darbības vai pat atspējot drošības pasākumus. Tas var novest pie sistēmas nestabilitātes un avārijām, kā arī apgrūtināt lietotāju efektīvu izmantošanu.
• Izplatīšana un tīkla izplatība : dažām aizmugures durvīm ir pašreplicēšanas iespējas, kas ļauj tām izplatīties tīklos un inficēt citas ierīces. Tā rezultātā var tikt apdraudēti veseli tīkli, kas ietekmēs vairākus lietotājus un organizācijas.
• Kompromitēta tīkla drošība : aizmugures durvis var izmantot, lai apietu tīkla drošības pasākumus, atvieglojot uzbrucēju iefiltrēšanos plašākos organizācijas tīklos. Tas var izraisīt papildu drošības pārkāpumus un apdraudēt sensitīvas uzņēmuma vai valdības informācijas integritāti.

Lai mazinātu šos riskus, lietotājiem ir ļoti svarīgi izmantot stingrus kiberdrošības pasākumus, tostarp regulārus programmatūras atjauninājumus, cienījamu pretvīrusu programmu izmantošanu un drošu tiešsaistes uzvedību, lai izvairītos no aizmugures ļaunprātīgas programmatūras uzbrukumu upuriem. Turklāt organizācijām ir jāievieš spēcīgi tīkla drošības protokoli, lai nekavējoties atklātu un apstrādātu iespējamos draudus.