RustyBuer Malware

RustyBuer is ontdekt door beveiligingsonderzoekers en is een nieuwe versie van de Buer-malwarelader. De oorspronkelijke dreiging werd voor het eerst waargenomen in 2019 toen het beschikbaar werd gesteld voor aankoop op ondergrondse hackerforums. Buer fungeert als een initiële payload die voet aan de grond krijgt op het getargete systeem en de aanval escaleert met de levering van malware-bedreigingen van de volgende fase. De nieuwere versie behoudt dezelfde functionaliteit met als belangrijkste onderscheidende factor dat deze is geschreven in de Rust-programmeertaal.

Het nabootsen van bestaande malwarebedreigingen met behulp van nieuwere en minder gevestigde programmeertalen is een relatief recente trend onder cybercriminelen. Hierdoor kunnen ze op handtekeningen gebaseerde anti-malware beveiligingsoplossingen vermijden die gemakkelijk de originele versies van de bedreigingen kunnen detecteren. Tegelijkertijd vermindert het de tijd die nodig is om de dreiging vrij te geven drastisch in vergelijking met het alternatief om geheel nieuwe malware te moeten bouwen.

RustyBuer's aanvalsketen

In de reeks aanvallen waarbij de RustyBuer-malware betrokken was, verspreidden de bedreigingsactoren lokmails die deden alsof ze afkomstig waren van het internationale logistieke bedrijf DHL. Om de nepmails meer legitimiteit te geven, hebben de hackers de logo's van verschillende cyberbeveiligingsproviders toegevoegd. De tekst van de valse e-mails instrueert het beoogde slachtoffer om het bijgevoegde bestand te openen, meestal een bewapend Word- of Excel-document. Het beschadigde bestand bevat een macro die de RustyBuer-dreiging op het systeem aflevert. Om detectie door endpoint security-oplossingen te voorkomen, maakt de macro gebruik van een Application Bypass.

Eenmaal binnen in het apparaat van het slachtoffer, controleert RustyBuer de omgeving op tekenen van virtualisatie. Daarna voert het een geolocatiecontrole uit om te bepalen of de gebruiker uit een specifiek CIS-land (Commonwealth of Independent States) komt en als een overeenkomst wordt gevonden, beëindigt de malware de uitvoering ervan. RustyBuer stelt ook een persistentiemechanisme in via een LNK-bestand dat bij elke systeemstart wordt gestart.

Payloads in de volgende fase

Analyse van de recente aanvalscampagnes waarbij RustyBuer werd ingezet, onthulde dat de dreiging grotendeels overeenkomt met het eerder waargenomen gedrag in Buer - de dreigingsactoren lieten een Cobalt Strike Beacon op de geschonden systemen vallen. Cobalt Strike is een legitiem hulpmiddel voor het testen van penetratie dat vrij vaak wordt uitgebuit door bedreigingsactoren die het in hun bedreigende operaties opnemen.

Echter, in sommige gevallen, nadat RustyBuer op de systemen was geïnstalleerd, escaleerden de bedreigingsactoren de actor niet en werden er geen payloads in de tweede fase gedetecteerd. De onderzoekers zijn van mening dat dit een teken is van de bedreigingsactoren die proberen een access-as-a-service-schema te gebruiken om de toegang tot de systemen na de infectie te verkopen aan andere cybercriminelen.

Er moet ook worden opgemerkt dat het bestaan van een lijst met landen waarvoor beperkingen gelden uit de GOS-regio aangeeft dat de exploitanten van RustyBuer mogelijk banden hebben met Rusland.