RustDoor Backdoor

Novo odkrita stranska vrata macOS, kodirana v Rust, je bila povezana z dobro znanima skupinama izsiljevalskih programov Black Basta in Alphv/BlackCat. Zlonamerna programska oprema, imenovana RustDoor, se predstavlja kot Visual Studio, ki podpira tako arhitekturi Intel kot Arm in kroži od novembra 2023, pri čemer se ji je več mesecev uspelo izogniti odkrivanju.

Raziskovalci so identificirali različne različice RustDoorja, ki si vse delijo isto funkcijo backdoor z manjšimi razlikami. Vse te različice podpirajo vrsto ukazov za zbiranje in izločanje datotek ter zbiranje informacij o okuženi napravi. Zbrani podatki se nato prenesejo na strežnik za vodenje in nadzor (C&C), kjer se ustvari ID žrtve in se uporabi v nadaljnjih komunikacijah.

Zadnja vrata RustDoor razvijajo svoje nevarne zmogljivosti

Zdi se, da je prvotna različica RustDoor Backdoor, odkrita novembra 2023, delovala kot testna izdaja. Ni imel celovitega mehanizma vztrajnosti in je vseboval 'testno' datoteko plist.

Druga različica, za katero se domneva, da se je pojavila mesec dni pozneje, je imela večje datoteke in je vključevala prefinjeno konfiguracijo JSON in Applov skript, zasnovan za izločanje določenih dokumentov iz map Documents in Desktop ter uporabniških opomb.

Ko se zlonamerna programska oprema uveljavi v ogroženih sistemih, kopira ciljne dokumente in podatke v skrito mapo, jih stisne v arhiv ZIP in nato prenese na strežnik za ukazovanje in nadzor (C&C). Nekatere konfiguracije določajo navodila za zbiranje podatkov, kot so največja velikost in število datotek, seznami ciljnih razširitev in imenikov ali imeniki, ki jih je treba izključiti. Raziskovalci so tudi ugotovili, da konfiguracijska datoteka RustDoorja omogoča poosebljanje različnih aplikacij z možnostmi prilagajanja pogovornega okna za ponarejeno skrbniško geslo.

Konfiguracija JSON se sklicuje na štiri vztrajne mehanizme, ki uporabljajo cronjobs, LaunchAgents (kar ima za posledico izvajanje ob prijavi), spreminjanje datoteke za zagotovitev izvajanja ob odprtju nove seje ZSH in dodajanje binarne datoteke v dok.

Odkrita je bila tretja različica zakulisnih vrat in zdi se, da je izvirna. Manjka mu zapletenost, skript Apple in vdelana konfiguracija, ki je prisotna v drugih različicah RustDoor.

Zlonamerna programska oprema uporablja tri strežnike C&C, ki so bili predhodno povezani s kampanjama Black Basta in Alphv/BlackCat Ransomware. BlackCat, prva izsiljevalska programska oprema za šifriranje datotek v programskem jeziku Rust, se je pojavila leta 2021 in je bila razstavljena decembra 2023.

Zakulisni napadi zlonamerne programske opreme imajo lahko resne posledice za žrtve

Prisotnost zlonamerne programske opreme za zakulisna vrata na napravah uporabnikov predstavlja velike in raznolike nevarnosti, saj zlonamernim akterjem omogoča nepooblaščen dostop. Tukaj je nekaj možnih nevarnosti, povezanih z okužbo uporabnikovih naprav z zlonamerno programsko opremo za zakulisna vrata:

• Nepooblaščen dostop in nadzor : Backdoors nudijo skrivno vstopno točko za napadalce, ki jim omogoča nepooblaščen dostop do okužene naprave. Ko so notri, lahko prevzamejo nadzor nad različnimi funkcijami, manipulirajo z datotekami in izvajajo ukaze brez vednosti ali soglasja uporabnika.
• Kraja in odtujitev podatkov : zakulisna vrata pogosto omogočajo krajo in odtujitev občutljivih podatkov, shranjenih na ogroženi napravi. Napadalci lahko dostopajo do osebnih podatkov, finančnih podatkov, poverilnic za prijavo in drugih zaupnih podatkov, kar vodi do morebitne kraje identitete, finančne izgube ali kršitev zasebnosti.
• Vohunjenje in nadzor : zlonamerna programska oprema za zakulisje je pogosto povezana z vohunskimi dejavnostmi. Napadalci lahko uporabljajo zadnja vrata za vohunjenje za uporabniki, spremljanje njihovih dejavnosti, zajemanje posnetkov zaslona, snemanje pritiskov na tipke in celo dostop do spletnih kamer ali mikrofonov, s čimer ogrožajo zasebnost uporabnikov.
• Namestitev izsiljevalske programske opreme : Backdoors se včasih uporabljajo kot prehod za uvajanje izsiljevalske programske opreme. Ko napadalci dobijo dostop prek stranskih vrat, lahko šifrirajo uporabniške datoteke in zahtevajo odkupnino za njihovo sprostitev, kar povzroči precejšnje motnje in finančno izgubo.
• Sistemske manipulacije in motnje : zadnja vrata lahko napadalcem omogočijo manipulacijo sistemskih nastavitev, motenje običajnih operacij ali celo onemogočanje varnostnih ukrepov. To lahko na koncu povzroči nestabilnost sistema in zrušitve, uporabnikom pa oteži učinkovito uporabo svojih naprav.
• Širjenje in širjenje po omrežju : nekatera stranska vrata imajo zmožnosti samopodvajanja, kar jim omogoča širjenje po omrežjih in okužbo drugih naprav. To lahko povzroči ogrožanje celotnih omrežij, kar vpliva na več uporabnikov in organizacij.
• Ogrožena omrežna varnost : Backdoors je mogoče uporabiti za obhod omrežnih varnostnih ukrepov, kar napadalcem olajša infiltracijo v širša organizacijska omrežja. To lahko privede do dodatnih kršitev varnosti in ogrozi celovitost občutljivih poslovnih ali državnih informacij.

Za ublažitev teh tveganj je ključnega pomena, da uporabniki uporabijo robustne ukrepe kibernetske varnosti, vključno z rednimi posodobitvami programske opreme, uporabo uglednih protivirusnih programov in prakticiranjem varnega spletnega vedenja, da ne bi postali žrtev napadov zlonamerne programske opreme za zakulisjem. Poleg tega bi morale organizacije izvajati močne omrežne varnostne protokole za takojšnje odkrivanje in obravnavanje morebitnih groženj.