RustDoor Bakdør

En nyoppdaget macOS-bakdør, kodet i Rust, har blitt koblet til kjente løsepengevaregrupper Black Basta og Alphv/BlackCat. Skadevaren, som heter RustDoor, utgir seg for at Visual Studio støtter både Intel- og Arm-arkitektur og har sirkulert siden november 2023, og klarte å unngå oppdagelse i flere måneder.

Forskere har identifisert forskjellige versjoner av RustDoor, som alle deler den samme bakdørsfunksjonaliteten med mindre forskjeller. Disse variantene støtter alle en rekke kommandoer for filinnsamling og eksfiltrering, samt innsamling av informasjon om den infiserte enheten. De innsamlede dataene blir deretter overført til en Command-and-Control-server (C&C), hvor en offer-ID genereres og brukes i etterfølgende kommunikasjon.

RustDoor-bakdøren har utviklet sine usikre egenskaper

Den første versjonen av RustDoor Backdoor, oppdaget i november 2023, ser ut til å ha fungert som en testutgivelse. Den manglet en omfattende utholdenhetsmekanisme og inneholdt en "test" plist-fil.

Den andre varianten, som antas å ha dukket opp en måned senere, hadde større filer og inkluderte en sofistikert JSON-konfigurasjon og et Apple-skript designet for å eksfiltrere spesifikke dokumenter fra mappene Dokumenter og skrivebord og brukerens notater.

Ved å etablere seg på kompromitterte systemer, kopierer skadevaren målrettede dokumenter og data til en skjult mappe, komprimerer dem til et ZIP-arkiv og overfører dem deretter til Command-and-Control-serveren (C&C). Noen konfigurasjoner spesifiserer datainnsamlingsinstruksjoner, for eksempel maksimal størrelse og antall filer, lister over målrettede utvidelser og kataloger, eller kataloger som skal ekskluderes. Forskere fant også at RustDoors konfigurasjonsfil tillater etterligning av forskjellige applikasjoner, med alternativer for å tilpasse en forfalsket administratorpassorddialog.

JSON-konfigurasjonen refererer til fire utholdenhetsmekanismer, ved å bruke cronjobs, LaunchAgents (som resulterer i kjøring ved pålogging), modifisering av en fil for å sikre kjøring ved åpning av en ny ZSH-sesjon og tillegging av binærfilen til dokken.

En tredje bakdørsvariant er oppdaget, og det ser ut til å være den originale. Den mangler kompleksiteten, Apple-skriptet og den innebygde konfigurasjonen som finnes i andre RustDoor-varianter.

Skadevaren bruker tre C&C-servere som tidligere var knyttet til Black Basta- og Alphv/BlackCat Ransomware-kampanjene. BlackCat, den første filkrypterende løsepengevaren i Rust-programmeringsspråket, dukket opp i 2021 og ble demontert i desember 2023.

Backdoor Malware-angrep kan ha alvorlige følger for ofrene

Tilstedeværelsen av bakdør malware på brukernes enheter utgjør betydelige og varierte farer, ettersom det gir uautorisert tilgang til ondsinnede aktører. Her er noen potensielle farer forbundet med å ha brukernes enheter infisert med bakdørs skadelig programvare:

• Uautorisert tilgang og kontroll : Bakdører gir et hemmelig inngangspunkt for angripere, som lar dem få uautorisert tilgang til den infiserte enheten. Når de er inne, kan de ta kontroll over ulike funksjoner, manipulere filer og utføre kommandoer uten brukerens viten eller samtykke.
• Datatyveri og -eksfiltrering : Bakdører muliggjør ofte tyveri og eksfiltrering av sensitive data som er lagret på den kompromitterte enheten. Angripere kan få tilgang til personlig informasjon, økonomiske data, påloggingsinformasjon og andre konfidensielle data, noe som fører til potensielt identitetstyveri, økonomisk tap eller brudd på personvernet.
• Spionasje og overvåking : Skadevare bakdører er ofte forbundet med spionasjeaktiviteter. Angripere kan bruke bakdøren til å spionere på brukere, overvåke aktivitetene deres, ta skjermbilder, ta opp tastetrykk og til og med få tilgang til webkameraer eller mikrofoner, noe som kompromitterer brukernes privatliv.
• Utrulling av løsepengevare : Bakdører brukes noen ganger som en inngangsport for utrulling av løsepengeprogramvare. Når angripere får tilgang gjennom en bakdør, kan de kryptere brukerens filer og kreve løsepenger for løslatelsen, noe som forårsaker betydelige forstyrrelser og økonomisk tap.
• Systemmanipulasjon og forstyrrelse : Bakdører kan tillate angripere å manipulere systeminnstillinger, forstyrre normal drift eller til og med deaktivere sikkerhetstiltak. Dette kan føre til systemustabilitet og krasjer og gjøre det utfordrende for brukere å bruke enhetene sine effektivt.
• Utbredelse og nettverksspredning : Noen bakdører har selvreplikerende evner, slik at de kan spre seg over nettverk og infisere andre enheter. Dette kan resultere i kompromittering av hele nettverk, som påvirker flere brukere og organisasjoner.
• Kompromittert nettverkssikkerhet : Bakdører kan brukes til å omgå nettverkssikkerhetstiltak, noe som gjør det lettere for angripere å infiltrere bredere organisasjonsnettverk. Dette kan føre til ytterligere sikkerhetsbrudd og kompromittere integriteten til sensitiv bedrifts- eller myndighetsinformasjon.

For å redusere disse risikoene er det avgjørende for brukere å ta i bruk robuste nettsikkerhetstiltak, inkludert regelmessige programvareoppdateringer, bruk av anerkjente antivirusprogrammer og praktisere sikker atferd på nettet for å unngå å bli offer for bakdørsangrep mot skadelig programvare. I tillegg bør organisasjoner implementere sterke nettverkssikkerhetsprotokoller for å oppdage og håndtere potensielle trusler umiddelbart.