Złośliwe oprogramowanie RustyBuer

Odkryta przez badaczy bezpieczeństwa, RustyBuer to nowa wersja programu ładującego złośliwe oprogramowanie Buer. Pierwotne zagrożenie po raz pierwszy zaobserwowano w 2019 roku, kiedy udostępniono je do zakupu na podziemnych forach hakerskich. Buer działa jako początkowy ładunek, który ustanawia przyczółek na docelowym systemie i przystępuje do eskalacji ataku wraz z dostarczaniem kolejnych zagrożeń złośliwym oprogramowaniem. Nowsza wersja zachowuje tę samą funkcjonalność, a głównym czynnikiem różnicującym jest to, że jest napisana w języku programowania Rust.

Odtwarzanie istniejących zagrożeń złośliwym oprogramowaniem przy użyciu nowszych i mniej znanych języków programowania jest stosunkowo niedawnym trendem wśród cyberprzestępców. Pozwala im to uniknąć opartych na sygnaturach rozwiązań zabezpieczających przed złośliwym oprogramowaniem, które mogą łatwo wykryć oryginalne wersje zagrożeń. Jednocześnie drastycznie skraca czas potrzebny na uwolnienie zagrożenia w porównaniu z alternatywą polegającą na zbudowaniu zupełnie nowego złośliwego oprogramowania.

Łańcuch Ataku RustyBuera

W serii ataków wykorzystujących szkodliwe oprogramowanie RustyBuer cyberprzestępcy rozpowszechniali e-maile z przynętą podszywające się pod międzynarodowe firmy logistyczne DHL. Aby zwiększyć wiarygodność fałszywych wiadomości e-mail, hakerzy umieścili logo kilku dostawców cyberbezpieczeństwa. Tekst fałszywych wiadomości e-mail instruuje ofiarę, aby otworzyła załączony plik, zwykle uzbrojony dokument Word lub Excel. Uszkodzony plik zawiera makro dostarczające do systemu zagrożenie RustyBuer. Aby uniknąć wykrycia przez rozwiązania zabezpieczające punkty końcowe, makro wykorzystuje obejście aplikacji.

Po wejściu do urządzenia ofiary RustyBuer sprawdza środowisko pod kątem oznak wirtualizacji. Następnie przeprowadza kontrolę geolokalizacji, aby ustalić, czy użytkownik pochodzi z określonego kraju WNP (Wspólnota Niepodległych Państw), a jeśli zostanie znalezione dopasowanie, złośliwe oprogramowanie przerywa działanie. RustyBuer ustanawia również mechanizm trwałości za pomocą pliku LNK, który jest inicjowany przy każdym uruchomieniu systemu.

Ładunki następnego etapu

Analiza ostatnich kampanii ataków wykorzystujących RustyBuer wykazała, że zagrożenie jest w większości zgodne z zachowaniem obserwowanym wcześniej w Buer – cyberprzestępcy zrzucili sygnał Cobalt Strike Beacon na naruszone systemy. Cobalt Strike to legalne narzędzie do testowania penetracji, które jest często wykorzystywane przez cyberprzestępców, którzy wykorzystują je w swoich groźnych operacjach.

Jednak w niektórych przypadkach, po ustanowieniu RustyBuer w systemach, aktorzy zagrożeń nie eskalowali aktora i nie wykryto ładunków drugiego etapu. Naukowcy uważają, że jest to oznaką cyberprzestępców próbujących obsługiwać schemat dostępu jako usługi, oferujący sprzedaż dostępu do systemów po infekcji innym grupom cyberprzestępczym.

Należy również zauważyć, że istnienie listy krajów objętych restrykcjami z regionu WNP wskazuje na potencjalne powiązania operatorów RustyBuer z Rosją.