RustyBuer skadlig programvara

RustyBuer upptäcktes av säkerhetsforskare och är en ny version av Buer malware loader. Det ursprungliga hotet observerades först redan 2019 när det gjordes tillgängligt för köp på underjordiska hackforum. Buer fungerar som en första nyttolast som ger fotfäste för det riktade systemet och fortsätter att eskalera attacken med leverans av hot i nästa steg mot skadlig programvara. Den nyare versionen behåller samma funktionalitet med den huvudsakliga differentierande faktorn att den är skriven i Rust-programmeringsspråket.

Rekryteringen av befintliga hot mot skadlig programvara med nyare och mindre etablerade programmeringsspråk är en relativt ny trend bland cyberbrottslingar. Genom att göra det kan de undvika signaturbaserade säkerhetslösningar mot skadlig kod som enkelt kan upptäcka de ursprungliga versionerna av hoten. Samtidigt minskar det tidsbehovet att frigöra hotet drastiskt jämfört med alternativet att behöva bygga en helt ny skadlig kod.

RustyBuer's Attack Chain

I serien av attacker som involverar RustyBuer-skadlig programvara sprider hotaktörerna lockande e-postmeddelanden som låtsas komma från det internationella logistikföretaget DHL. För att lägga till mer legitimitet för de falska mejlen inkluderade hackarna logotyperna från flera cybersäkerhetsleverantörer. Texten i falska e-postmeddelanden instruerar det riktade offret att öppna den bifogade filen, vanligtvis ett beväpnat Word- eller Excel-dokument. Den skadade filen innehåller ett makro som levererar RustyBuer-hotet till systemet. För att undvika upptäckt från säkerhetslösningar för slutpunkter använder makrot en applikationsbypass.

En gång inuti offrets enhet kontrollerar RustyBuer miljön för tecken på virtualisering. Därefter utför den en geolokaliseringskontroll för att avgöra om användaren kommer från ett specifikt CIS-land (Commonwealth of Independent States) och om en matchning hittas avslutar skadlig programvara dess körning. RustyBuer skapar också en uthållighetsmekanism via en LNK-fil som initieras vid varje systemstart.

Nästa stegs nyttolast

Analys av de senaste attackkampanjer som använder RustyBuer avslöjade att hotet mest överensstämmer med det beteende som tidigare observerats i Buer - hotaktörerna släppte en Cobalt Strike Beacon på de brutna systemen. Cobalt Strike är ett legitimt penetreringsverktyg som ofta utnyttjas av hotaktörer som införlivar det i sin hotande verksamhet.

Men i vissa fall, efter att RustyBuer hade etablerats i systemen, eskalerade hotaktörerna inte skådespelaren och inga andra stegs nyttolast upptäcktes. Forskarna tror att han är ett tecken på hotaktörerna som försöker driva ett access-as-a-service-system som erbjuder att sälja tillgången till infektion till systemen till andra cyberkriminella grupper.

Det bör också noteras att förekomsten av en lista med begränsade länder från OSS-regionen indikerar att operatörerna av RustyBuer potentiellt kan ha band till Ryssland.