RustDoor Backdoor

Novoobjavené zadné vrátka macOS, kódované v Ruste, boli prepojené so známymi ransomvérovými skupinami Black Basta a Alphv/BlackCat. Malvér s názvom RustDoor predstavuje Visual Studio, ktoré podporuje architektúry Intel aj Arm a je v obehu od novembra 2023, pričom sa mu podarilo uniknúť detekcii niekoľko mesiacov.

Výskumníci identifikovali rôzne verzie RustDoor, pričom všetky zdieľajú rovnakú funkčnosť zadných vrátok s malými rozdielmi. Všetky tieto varianty podporujú celý rad príkazov na zber a exfiltráciu súborov, ako aj na zhromažďovanie informácií o infikovanom zariadení. Zhromaždené údaje sa potom prenesú na server Command-and-Control (C&C), kde sa vygeneruje ID obete a použije sa pri následnej komunikácii.

Zadné vrátka RustDoor sa vyvíjali vo svojich nebezpečných schopnostiach

Zdá sa, že počiatočná verzia RustDoor Backdoor, zistená v novembri 2023, fungovala ako testovacia verzia. Chýbal mu komplexný mechanizmus pretrvávania a obsahoval „testovací“ súbor plist.

Druhý variant, o ktorom sa predpokladá, že sa objavil o mesiac neskôr, mal väčšie súbory a zahŕňal sofistikovanú konfiguráciu JSON a skript Apple určený na extrakciu konkrétnych dokumentov z priečinkov Documents a Desktop a používateľských poznámok.

Po etablovaní sa na ohrozených systémoch malvér skopíruje cielené dokumenty a údaje do skrytého priečinka, skomprimuje ich do archívu ZIP a potom ich odošle na server Command-and-Control (C&C). Niektoré konfigurácie špecifikujú pokyny na zhromažďovanie údajov, ako je maximálna veľkosť a počet súborov, zoznamy cieľových rozšírení a adresárov alebo adresárov, ktoré sa majú vylúčiť. Výskumníci tiež zistili, že konfiguračný súbor RustDoor umožňuje zosobnenie rôznych aplikácií s možnosťami prispôsobenia falošného dialógového okna s heslom správcu.

Konfigurácia JSON odkazuje na štyri mechanizmy pretrvávania, ktoré využívajú cronjobs, LaunchAgents (výsledkom je spustenie pri prihlásení), úprava súboru, aby sa zabezpečilo spustenie pri otvorení novej relácie ZSH a pridaním binárneho súboru do doku.

Bol objavený tretí variant zadných vrátok a zdá sa, že ide o pôvodný variant. Chýba mu zložitosť, skript Apple a vstavaná konfigurácia prítomná v iných variantoch RustDoor.

Malvér využíva tri servery C&C, ktoré boli predtým prepojené s kampaňami Black Basta a Alphv/BlackCat Ransomware. BlackCat, prvý ransomvér na šifrovanie súborov v programovacom jazyku Rust, sa objavil v roku 2021 a bol demontovaný v decembri 2023.

Backdoor malvérové útoky môžu mať pre obete vážne následky

Prítomnosť backdoor malvéru na zariadeniach používateľov predstavuje značné a rôzne nebezpečenstvá, pretože umožňuje neoprávnený prístup zlovoľným aktérom. Tu sú niektoré potenciálne nebezpečenstvá spojené s infikovaním zariadení používateľov malvérom typu backdoor:

• Neoprávnený prístup a kontrola : Zadné vrátka poskytujú útočníkom tajný vstupný bod, ktorý im umožňuje získať neoprávnený prístup k infikovanému zariadeniu. Keď sú vo vnútri, môžu prevziať kontrolu nad rôznymi funkciami, manipulovať so súbormi a vykonávať príkazy bez vedomia alebo súhlasu používateľa.
• Krádež a exfiltrácia dát : Zadné vrátka často umožňujú krádež a únik citlivých dát uložených na napadnutom zariadení. Útočníci môžu získať prístup k osobným informáciám, finančným údajom, prihlasovacím povereniam a ďalším dôverným údajom, čo vedie k potenciálnej krádeži identity, finančnej strate alebo narušeniu súkromia.
• Špionáž a sledovanie : Malvér typu Backdoor sa bežne spája so špionážnymi aktivitami. Útočníci môžu využiť zadné vrátka na špehovanie používateľov, sledovanie ich aktivít, zachytávanie snímok obrazovky, zaznamenávanie stlačenia klávesov a dokonca prístup k webovým kamerám alebo mikrofónom, čím ohrozujú súkromie používateľov.
• Nasadenie ransomvéru : Zadné vrátka sa niekedy používajú ako brána na nasadenie ransomvéru. Keď útočníci získajú prístup cez zadné vrátka, môžu zašifrovať súbory používateľa a požadovať výkupné za ich vydanie, čo spôsobí značné narušenie a finančnú stratu.
• Manipulácia a narušenie systému : Zadné vrátka môžu útočníkom umožniť manipulovať s nastaveniami systému, narušiť bežné operácie alebo dokonca deaktivovať bezpečnostné opatrenia. To môže viesť k nestabilite systému a zlyhaniam a sťažiť používateľom efektívne používanie svojich zariadení.
• Propagácia a šírenie v sieti : Niektoré zadné vrátka majú schopnosť samoreprodukcie, čo im umožňuje šíriť sa po sieťach a infikovať ďalšie zariadenia. To môže viesť ku kompromitácii celých sietí, čo ovplyvní viacerých používateľov a organizácie.
• Ohrozená sieťová bezpečnosť : Backdoors je možné použiť na obídenie sieťových bezpečnostných opatrení, čo útočníkom uľahčuje infiltráciu do širších organizačných sietí. To môže viesť k ďalším narušeniam bezpečnosti a ohroziť integritu citlivých podnikových alebo vládnych informácií.

Na zmiernenie týchto rizík je nevyhnutné, aby používatelia využívali robustné opatrenia v oblasti kybernetickej bezpečnosti vrátane pravidelných aktualizácií softvéru, používania renomovaných antivírusových programov a praktizovania bezpečného online správania, aby sa nestali obeťou útokov škodlivého softvéru typu backdoor. Okrem toho by organizácie mali implementovať silné sieťové bezpečnostné protokoly na rýchle odhalenie a zvládnutie potenciálnych hrozieb.