Multi-License Discount Quote
Pangkalan Data Ancaman Mac Malware Pintu Belakang RustDoor

Pintu Belakang RustDoor

Menjelang Mezo pada Mac Malware, Backdoors
Terjemahkan ke
بهاس ملايو

Pintu belakang macOS yang baru ditemui, berkod dalam Rust, telah dikaitkan dengan kumpulan perisian tebusan terkenal Black Basta dan Alphv/BlackCat. Dinamakan RustDoor, perisian hasad itu menyamar sebagai Visual Studio menyokong seni bina Intel dan Arm dan telah beredar sejak November 2023, berjaya mengelak pengesanan selama beberapa bulan.

Penyelidik telah mengenal pasti pelbagai versi RustDoor, semuanya berkongsi fungsi pintu belakang yang sama dengan perbezaan kecil. Varian ini semuanya menyokong pelbagai perintah untuk penuaian fail dan exfiltration, serta mengumpul maklumat tentang peranti yang dijangkiti. Data yang dikumpul kemudiannya dihantar ke pelayan Command-and-Control (C&C), di mana ID mangsa dijana dan digunakan dalam komunikasi seterusnya.

Pintu Belakang RustDoor Telah Membangunkan Keupayaan Tidak Selamatnya

Versi awal RustDoor Backdoor, yang dikesan pada November 2023, nampaknya telah berfungsi sebagai keluaran ujian. Ia tidak mempunyai mekanisme kegigihan yang komprehensif dan menampilkan fail plist 'ujian'.

Varian kedua, dipercayai muncul sebulan kemudian, mempunyai fail yang lebih besar dan termasuk konfigurasi JSON yang canggih dan skrip Apple yang direka untuk mengekstrak dokumen tertentu daripada folder Dokumen dan Desktop serta nota pengguna.

Setelah mewujudkan dirinya pada sistem yang terjejas, perisian hasad menyalin dokumen dan data yang disasarkan ke folder tersembunyi memampatkannya ke dalam arkib ZIP dan kemudian menghantarnya ke pelayan Command-and-Control (C&C). Sesetengah konfigurasi menentukan arahan pengumpulan data, seperti saiz maksimum dan bilangan fail, senarai sambungan dan direktori yang disasarkan, atau direktori untuk dikecualikan. Penyelidik juga mendapati bahawa fail konfigurasi RustDoor membenarkan penyamaran aplikasi yang berbeza, dengan pilihan untuk menyesuaikan dialog kata laluan pentadbir yang dipalsukan.

Konfigurasi JSON merujuk kepada empat mekanisme kegigihan, menggunakan cronjob, LaunchAgents (menghasilkan pelaksanaan semasa log masuk), mengubah suai fail untuk memastikan pelaksanaan apabila membuka sesi ZSH baharu dan menambah binari pada dok.

Varian pintu belakang ketiga telah ditemui, dan ia kelihatan seperti yang asal. Ia tidak mempunyai kerumitan, skrip Apple, dan konfigurasi terbenam yang terdapat dalam varian RustDoor yang lain.

Malware menggunakan tiga pelayan C&C yang sebelum ini dipautkan kepada kempen Black Basta dan Alphv/BlackCat Ransomware. BlackCat, perisian tebusan penyulitan fail pertama dalam bahasa pengaturcaraan Rust, muncul pada 2021 dan telah dibongkar pada Disember 2023.

Serangan Perisian Hasad Pintu Belakang mungkin Memberi Kesan Teruk untuk Mangsa

Kehadiran perisian hasad pintu belakang pada peranti pengguna menimbulkan bahaya yang ketara dan pelbagai, kerana ia memberikan akses tanpa kebenaran kepada pelakon yang berniat jahat. Berikut ialah beberapa potensi bahaya yang dikaitkan dengan peranti pengguna dijangkiti perisian hasad pintu belakang:

  • Akses dan Kawalan Tanpa Kebenaran : Pintu belakang menyediakan pintu masuk rahsia untuk penyerang, membolehkan mereka mendapat akses tanpa kebenaran kepada peranti yang dijangkiti. Apabila berada di dalam, mereka boleh mengawal pelbagai fungsi, memanipulasi fail dan melaksanakan arahan tanpa pengetahuan atau persetujuan pengguna.
  • Kecurian dan Penyusutan Data : Pintu belakang selalunya membolehkan pencurian dan penyusutan data sensitif yang disimpan pada peranti yang terjejas. Penyerang boleh mengakses maklumat peribadi, data kewangan, bukti kelayakan log masuk dan data sulit lain, yang membawa kepada potensi kecurian identiti, kehilangan kewangan atau pelanggaran privasi.
  • Pengintipan dan Pengawasan : Malware pintu belakang biasanya dikaitkan dengan aktiviti pengintipan. Penyerang boleh menggunakan pintu belakang untuk mengintip pengguna, memantau aktiviti mereka, menangkap tangkapan skrin, merekod ketukan kekunci, dan juga mengakses kamera web atau mikrofon, menjejaskan privasi pengguna.
  • Penerapan Ransomware : Pintu belakang kadangkala digunakan sebagai pintu masuk untuk menggunakan perisian tebusan. Sebaik sahaja penyerang mendapat akses melalui pintu belakang, mereka mungkin menyulitkan fail pengguna dan meminta wang tebusan untuk pembebasan mereka, menyebabkan gangguan yang ketara dan kerugian kewangan.
  • Manipulasi dan Gangguan Sistem : Pintu belakang boleh membenarkan penyerang memanipulasi tetapan sistem, mengganggu operasi biasa atau malah melumpuhkan langkah keselamatan. Ini akhirnya boleh membawa kepada ketidakstabilan dan ranap sistem dan menjadikannya mencabar bagi pengguna untuk menggunakan peranti mereka dengan berkesan.
  • Penyebaran dan Penyebaran Rangkaian : Sesetengah pintu belakang mempunyai keupayaan mereplikasi sendiri, membolehkannya merebak ke seluruh rangkaian dan menjangkiti peranti lain. Ini boleh mengakibatkan kompromi keseluruhan rangkaian, menjejaskan berbilang pengguna dan organisasi.
  • Keselamatan Rangkaian Terkompromi : Pintu belakang boleh digunakan untuk memintas langkah keselamatan rangkaian, menjadikannya lebih mudah bagi penyerang untuk menyusup ke rangkaian organisasi yang lebih luas. Ini boleh membawa kepada pelanggaran keselamatan tambahan dan menjejaskan integriti maklumat korporat atau kerajaan yang sensitif.

Untuk mengurangkan risiko ini, adalah penting bagi pengguna untuk menggunakan langkah keselamatan siber yang teguh, termasuk kemas kini perisian biasa, penggunaan program antivirus yang bereputasi baik dan mengamalkan tingkah laku dalam talian yang selamat untuk mengelak daripada menjadi mangsa serangan perisian hasad pintu belakang. Selain itu, organisasi harus melaksanakan protokol keselamatan rangkaian yang kukuh untuk mengesan dan mengendalikan potensi ancaman dengan segera.

Trending

Paling banyak dilihat

Memuatkan...