Tylne drzwi RustDoora

Nowo odkryty backdoor dla systemu macOS, zakodowany w języku Rust, został powiązany z dobrze znanymi grupami oprogramowania ransomware Black Basta i Alphv/BlackCat. Szkodnik o nazwie RustDoor udający, że Visual Studio obsługuje architekturę Intel i Arm, krąży od listopada 2023 r. i przez wiele miesięcy udaje mu się uniknąć wykrycia.

Badacze zidentyfikowali różne wersje RustDoora, z których wszystkie mają tę samą funkcjonalność backdoora, z niewielkimi różnicami. Wszystkie te warianty obsługują szereg poleceń służących do gromadzenia i eksfiltracji plików, a także zbierania informacji o zainfekowanym urządzeniu. Zebrane dane są następnie przesyłane do serwera dowodzenia i kontroli (C&C), gdzie generowany jest identyfikator ofiary i wykorzystywany w późniejszej komunikacji.

Backdoor RustDoor rozwija swoje niebezpieczne możliwości

Wydaje się, że pierwotna wersja backdoora RustDoor, wykryta w listopadzie 2023 r., funkcjonowała jako wersja testowa. Brakowało mu wszechstronnego mechanizmu trwałości i zawierało „testowy” plik plist.

Drugi wariant, który prawdopodobnie pojawił się miesiąc później, zawierał większe pliki i zawierał wyrafinowaną konfigurację JSON oraz skrypt Apple przeznaczony do wydobywania określonych dokumentów z folderów Dokumenty i Pulpit oraz notatek użytkownika.

Po osiedleniu się w zaatakowanych systemach szkodliwe oprogramowanie kopiuje wybrane dokumenty i dane do ukrytego folderu, kompresuje je do archiwum ZIP, a następnie przesyła do serwera dowodzenia i kontroli (C&C). Niektóre konfiguracje określają instrukcje dotyczące gromadzenia danych, takie jak maksymalny rozmiar i liczba plików, listy docelowych rozszerzeń i katalogów lub katalogi do wykluczenia. Badacze odkryli również, że plik konfiguracyjny RustDoor umożliwia podszywanie się pod różne aplikacje, z opcjami dostosowywania okna dialogowego fałszywego hasła administratora.

Konfiguracja JSON odwołuje się do czterech mechanizmów trwałości, wykorzystując zadania cron, LaunchAgents (powodujące wykonanie przy logowaniu), modyfikując plik, aby zapewnić wykonanie po otwarciu nowej sesji ZSH i dodając plik binarny do stacji dokującej.

Odkryto trzeci wariant backdoora i wydaje się, że jest on oryginalny. Brakuje mu złożoności, skryptu Apple i wbudowanej konfiguracji obecnych w innych wariantach RustDoor.

Szkodnik wykorzystuje trzy serwery kontroli i kontroli powiązane wcześniej z kampaniami Black Basta i Alphv/BlackCat Ransomware. BlackCat, pierwsze oprogramowanie ransomware szyfrujące pliki w języku programowania Rust, pojawiło się w 2021 r. i zostało zlikwidowane w grudniu 2023 r.

Ataki złośliwym oprogramowaniem typu backdoor mogą mieć poważne konsekwencje dla ofiar

Obecność szkodliwego oprogramowania typu backdoor na urządzeniach użytkowników stwarza poważne i różnorodne zagrożenia, ponieważ umożliwia nieautoryzowany dostęp złośliwym podmiotom. Oto kilka potencjalnych zagrożeń związanych z infekcją urządzeń użytkowników złośliwym oprogramowaniem typu backdoor:

• Nieautoryzowany dostęp i kontrola : Backdoory stanowią tajny punkt wejścia dla atakujących, umożliwiając im uzyskanie nieautoryzowanego dostępu do zainfekowanego urządzenia. Po wejściu do środka mogą przejąć kontrolę nad różnymi funkcjami, manipulować plikami i wykonywać polecenia bez wiedzy i zgody użytkownika.
• Kradzież i eksfiltracja danych : Backdoory często umożliwiają kradzież i eksfiltrację wrażliwych danych przechowywanych na zaatakowanym urządzeniu. Osoby atakujące mogą uzyskać dostęp do danych osobowych, danych finansowych, danych logowania i innych poufnych danych, co może prowadzić do potencjalnej kradzieży tożsamości, strat finansowych lub naruszenia prywatności.
• Szpiegostwo i nadzór : złośliwe oprogramowanie typu backdoor jest powszechnie kojarzone z działalnością szpiegowską. Atakujący mogą wykorzystać backdoora do szpiegowania użytkowników, monitorowania ich działań, przechwytywania zrzutów ekranu, rejestrowania naciśnięć klawiszy, a nawet uzyskiwania dostępu do kamer internetowych lub mikrofonów, naruszając prywatność użytkowników.
• Wdrażanie oprogramowania ransomware : Backdoory są czasami wykorzystywane jako brama do wdrażania oprogramowania ransomware. Gdy napastnicy uzyskają dostęp przez backdoora, mogą zaszyfrować pliki użytkownika i zażądać okupu za ich uwolnienie, powodując znaczne zakłócenia i straty finansowe.
• Manipulacja i zakłócenia w systemie : Backdoory mogą pozwolić atakującym na manipulowanie ustawieniami systemu, zakłócanie normalnych operacji, a nawet wyłączanie środków bezpieczeństwa. Może to prowadzić do niestabilności i awarii systemu, a także utrudniać użytkownikom efektywne korzystanie z urządzeń.
• Propagacja i rozprzestrzenianie się w sieci : Niektóre backdoory mają zdolność samoreplikacji, co pozwala im rozprzestrzeniać się w sieciach i infekować inne urządzenia. Może to spowodować zagrożenie dla całych sieci, wpływając na wielu użytkowników i organizacje.
• Naruszone bezpieczeństwo sieci : Backdoory można wykorzystać do ominięcia środków bezpieczeństwa sieci, ułatwiając atakującym infiltrację szerszych sieci organizacyjnych. Może to prowadzić do dodatkowych naruszeń bezpieczeństwa i zagrozić integralności wrażliwych informacji korporacyjnych lub rządowych.

Aby ograniczyć to ryzyko, ważne jest, aby użytkownicy stosowali solidne środki bezpieczeństwa cybernetycznego, w tym regularne aktualizacje oprogramowania, korzystanie z renomowanych programów antywirusowych i przestrzeganie bezpiecznych zachowań w Internecie, aby uniknąć ofiar ataków złośliwego oprogramowania typu backdoor. Ponadto organizacje powinny wdrożyć silne protokoły bezpieczeństwa sieci, aby szybko wykrywać potencjalne zagrożenia i reagować na nie.