Multi-License Discount Quote
База данных угроз Mac Malware Бэкдор RustDoor

Бэкдор RustDoor

К Mezo году в Mac Malware, Backdoors году
Перевести на:
Русский

Недавно обнаруженный бэкдор macOS, написанный на Rust, был связан с известными группами вымогателей Black Basta и Alphv/BlackCat. Вредоносное ПО, получившее название RustDoor, выдает себя за Visual Studio, поддерживает архитектуру Intel и Arm и циркулирует с ноября 2023 года, сумев уклониться от обнаружения в течение нескольких месяцев.

Исследователи выявили различные версии RustDoor, все из которых имеют одинаковую функциональность бэкдора с небольшими различиями. Все эти варианты поддерживают ряд команд для сбора и фильтрации файлов, а также сбора информации о зараженном устройстве. Собранные данные затем передаются на сервер управления (C&C), где генерируется идентификатор жертвы, который используется в последующих коммуникациях.

Бэкдор RustDoor развивает свои небезопасные возможности

Первоначальная версия бэкдора RustDoor, обнаруженная в ноябре 2023 года, похоже, функционировала как тестовая версия. В нем отсутствовал комплексный механизм сохранения и использовался «тестовый» файл plist.

Второй вариант, предположительно появившийся месяц спустя, содержал файлы большего размера и включал сложную конфигурацию JSON и скрипт Apple, предназначенный для извлечения определенных документов из папок «Документы» и «Рабочий стол», а также заметок пользователя.

Прикрепившись к взломанным системам, вредоносная программа копирует целевые документы и данные в скрытую папку, сжимает их в ZIP-архив и затем передает на командный сервер (C&C). В некоторых конфигурациях указаны инструкции по сбору данных, такие как максимальный размер и количество файлов, списки целевых расширений и каталогов или каталогов, которые необходимо исключить. Исследователи также обнаружили, что файл конфигурации RustDoor позволяет выдавать себя за различные приложения с возможностью настройки диалогового окна поддельного пароля администратора.

Конфигурация JSON ссылается на четыре механизма сохранения, используя cronjobs, LaunchAgents (приводящие к выполнению при входе в систему), изменение файла для обеспечения выполнения при открытии нового сеанса ZSH и добавление двоичного файла в док.

Был обнаружен третий вариант бэкдора, который, похоже, является оригинальным. Ему не хватает сложности, скрипта Apple и встроенной конфигурации, присутствующих в других вариантах RustDoor.

Вредоносная программа использует три командных сервера, ранее связанных с кампаниями Black Basta и Alphv/BlackCat Ransomware. BlackCat, первая программа-вымогатель, шифрующая файлы на языке программирования Rust, появилась в 2021 году и была удалена в декабре 2023 года.

Атаки вредоносного ПО через бэкдор могут иметь серьезные последствия для жертв

Наличие вредоносных программ-бэкдоров на устройствах пользователей представляет значительную и разнообразную опасность, поскольку предоставляет злоумышленникам несанкционированный доступ. Вот некоторые потенциальные опасности, связанные с заражением устройств пользователей вредоносным ПО с бэкдором:

  • Несанкционированный доступ и контроль . Бэкдоры предоставляют злоумышленникам секретную точку входа, позволяя им получить несанкционированный доступ к зараженному устройству. Оказавшись внутри, они могут контролировать различные функции, манипулировать файлами и выполнять команды без ведома и согласия пользователя.
  • Кража и эксфильтрация данных . Бэкдоры часто позволяют украсть и украсть конфиденциальные данные, хранящиеся на взломанном устройстве. Злоумышленники могут получить доступ к личной информации, финансовым данным, учетным данным для входа и другим конфиденциальным данным, что может привести к потенциальной краже личных данных, финансовым потерям или нарушению конфиденциальности.
  • Шпионаж и наблюдение . Вредоносное ПО с бэкдором обычно ассоциируется со шпионской деятельностью. Злоумышленники могут использовать бэкдор, чтобы шпионить за пользователями, отслеживать их действия, делать снимки экрана, записывать нажатия клавиш и даже получать доступ к веб-камерам или микрофонам, ставя под угрозу конфиденциальность пользователей.
  • Развертывание программ-вымогателей . Бэкдоры иногда используются в качестве шлюза для развертывания программ-вымогателей. Получив доступ через бэкдор, злоумышленники могут зашифровать файлы пользователя и потребовать выкуп за их выпуск, что приведет к значительным сбоям и финансовым потерям.
  • Манипулирование системой и ее нарушение : бэкдоры могут позволить злоумышленникам манипулировать настройками системы, нарушать нормальную работу или даже отключать меры безопасности. Это может в конечном итоге привести к нестабильности системы и сбоям, а также затруднить эффективное использование своих устройств пользователями.
  • Распространение и распространение по сети . Некоторые бэкдоры обладают возможностями самовоспроизведения, что позволяет им распространяться по сетям и заражать другие устройства. Это может привести к компрометации целых сетей, затрагивая множество пользователей и организаций.
  • Нарушение сетевой безопасности . Бэкдоры можно использовать для обхода мер сетевой безопасности, что облегчает злоумышленникам проникновение в более широкие сети организации. Это может привести к дополнительным нарушениям безопасности и поставить под угрозу целостность конфиденциальной корпоративной или государственной информации.

Чтобы снизить эти риски, пользователям крайне важно применять надежные меры кибербезопасности, включая регулярные обновления программного обеспечения, использование надежных антивирусных программ и практику безопасного поведения в Интернете, чтобы не стать жертвой атак вредоносного ПО через бэкдор. Кроме того, организациям следует внедрить надежные протоколы сетевой безопасности для быстрого обнаружения и устранения потенциальных угроз.

В тренде

Наиболее просматриваемые

Загрузка...