สนิมประตูหลังประตู

แบ็คดอร์ macOS ที่เพิ่งค้นพบซึ่งมีรหัสเป็น Rust เชื่อมโยงกับกลุ่มแรนซัมแวร์ชื่อดังอย่าง Black Basta และ Alphv/BlackCat มัลแวร์ชื่อ RustDoor อ้างว่า Visual Studio รองรับทั้งสถาปัตยกรรม Intel และ Arm และเผยแพร่ตั้งแต่เดือนพฤศจิกายน 2566 โดยจัดการเพื่อหลบเลี่ยงการตรวจจับเป็นเวลาหลายเดือน

นักวิจัยได้ระบุ RustDoor เวอร์ชันต่างๆ ซึ่งทั้งหมดใช้ฟังก์ชันแบ็คดอร์เดียวกันโดยมีข้อแตกต่างเล็กน้อย รูปแบบเหล่านี้รองรับคำสั่งต่างๆ มากมายสำหรับการเก็บเกี่ยวและการกรองไฟล์ รวมถึงการรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ที่ติดไวรัส จากนั้นข้อมูลที่รวบรวมจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C&C) ซึ่ง ID เหยื่อจะถูกสร้างขึ้นและใช้ในการสื่อสารครั้งต่อไป

ประตูหลัง RustDoor ได้พัฒนาความสามารถที่ไม่ปลอดภัย

เวอร์ชันเริ่มต้นของ RustDoor Backdoor ซึ่งตรวจพบในเดือนพฤศจิกายน 2023 ดูเหมือนว่าจะทำหน้าที่เป็นรุ่นทดสอบ ขาดกลไกการคงอยู่ที่ครอบคลุมและมีไฟล์ plist 'ทดสอบ'

รูปแบบที่สองซึ่งเชื่อว่าจะปรากฏขึ้นในอีกหนึ่งเดือนต่อมา มีไฟล์ขนาดใหญ่กว่าและมีการกำหนดค่า JSON ที่ซับซ้อนและสคริปต์ Apple ที่ออกแบบมาเพื่อขโมยเอกสารเฉพาะจากโฟลเดอร์ Documents และ Desktop และบันทึกย่อของผู้ใช้

เมื่อสร้างตัวเองบนระบบที่ถูกบุกรุก มัลแวร์จะคัดลอกเอกสารและข้อมูลเป้าหมายไปยังโฟลเดอร์ที่ซ่อนอยู่ โดยบีบอัดลงในไฟล์ ZIP แล้วส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C&C) การกำหนดค่าบางอย่างระบุคำแนะนำในการรวบรวมข้อมูล เช่น ขนาดสูงสุดและจำนวนไฟล์ รายการส่วนขยายและไดเร็กทอรีเป้าหมาย หรือไดเร็กทอรีที่จะแยกออก นักวิจัยยังพบว่าไฟล์กำหนดค่าของ RustDoor ช่วยให้สามารถเลียนแบบแอปพลิเคชันต่างๆ ได้ พร้อมตัวเลือกในการปรับแต่งกล่องโต้ตอบรหัสผ่านผู้ดูแลระบบที่ปลอมแปลง

การกำหนดค่า JSON อ้างอิงถึงกลไกการคงอยู่สี่กลไก โดยใช้ cronjobs, LaunchAgents (ส่งผลให้มีการดำเนินการเมื่อเข้าสู่ระบบ) การแก้ไขไฟล์เพื่อให้แน่ใจว่ามีการดำเนินการเมื่อเปิดเซสชัน ZSH ใหม่ และเพิ่มไบนารีลงใน Dock

มีการค้นพบแบ็คดอร์รูปแบบที่สาม และดูเหมือนว่าจะเป็นรุ่นดั้งเดิม ไม่มีความซับซ้อน สคริปต์ของ Apple และการกำหนดค่าแบบฝังที่มีอยู่ในรุ่น RustDoor อื่นๆ

มัลแวร์นี้ใช้เซิร์ฟเวอร์ C&C สามเซิร์ฟเวอร์ที่ก่อนหน้านี้เชื่อมโยงกับแคมเปญ Black Basta และ Alphv/BlackCat Ransomware BlackCat ซึ่งเป็นแรนซัมแวร์เข้ารหัสไฟล์ตัวแรกในภาษาโปรแกรม Rust เกิดขึ้นในปี 2021 และถูกรื้อถอนในเดือนธันวาคม 2023

การโจมตีมัลแวร์แบ็คดอร์อาจส่งผลกระทบอย่างรุนแรงต่อผู้ที่ตกเป็นเหยื่อ

การมีอยู่ของมัลแวร์แบ็คดอร์บนอุปกรณ์ของผู้ใช้ก่อให้เกิดอันตรายที่สำคัญและหลากหลาย เนื่องจากทำให้ผู้ประสงค์ร้ายเข้าถึงโดยไม่ได้รับอนุญาต ต่อไปนี้คืออันตรายที่อาจเกิดขึ้นจากการที่อุปกรณ์ของผู้ใช้ติดมัลแวร์แบ็คดอร์:

• การเข้าถึงและการควบคุมโดยไม่ได้รับอนุญาต : แบ็คดอร์เป็นช่องทางลับสำหรับผู้โจมตี ช่วยให้พวกเขาสามารถเข้าถึงอุปกรณ์ที่ติดไวรัสโดยไม่ได้รับอนุญาต เมื่อเข้าไปข้างในแล้ว พวกเขาสามารถควบคุมฟังก์ชันต่างๆ จัดการไฟล์ และดำเนินการคำสั่งโดยที่ผู้ใช้ไม่รู้หรือไม่ยินยอม
• การโจรกรรมข้อมูลและการกรองข้อมูล : แบ็คดอร์มักจะเปิดใช้งานการขโมยและกรองข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในอุปกรณ์ที่ถูกบุกรุก ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคล ข้อมูลทางการเงิน ข้อมูลการเข้าสู่ระบบ และข้อมูลที่เป็นความลับอื่น ๆ ซึ่งนำไปสู่การขโมยข้อมูลระบุตัวตน การสูญเสียทางการเงิน หรือการละเมิดความเป็นส่วนตัว
• การจารกรรมและการเฝ้าระวัง : มัลแวร์แบ็คดอร์มักเกี่ยวข้องกับกิจกรรมการจารกรรม ผู้โจมตีสามารถใช้แบ็คดอร์เพื่อสอดแนมผู้ใช้ ตรวจสอบกิจกรรมของพวกเขา จับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ และแม้แต่เข้าถึงเว็บแคมหรือไมโครโฟน ซึ่งส่งผลต่อความเป็นส่วนตัวของผู้ใช้
• การปรับใช้แรนซัมแวร์ : บางครั้งแบ็คดอร์ถูกใช้เป็นเกตเวย์สำหรับการปรับใช้แรนซัมแวร์ เมื่อผู้โจมตีเข้าถึงผ่านประตูหลัง พวกเขาอาจเข้ารหัสไฟล์ของผู้ใช้และเรียกร้องค่าไถ่สำหรับการปล่อยของพวกเขา ทำให้เกิดการหยุดชะงักและการสูญเสียทางการเงินอย่างมีนัยสำคัญ
• การจัดการและการหยุดชะงักของระบบ : แบ็คดอร์สามารถอนุญาตให้ผู้โจมตีจัดการการตั้งค่าระบบ ขัดขวางการทำงานปกติ หรือแม้แต่ปิดการใช้งานมาตรการรักษาความปลอดภัย สิ่งนี้สามารถนำไปสู่ความไม่เสถียรและการล่มของระบบ และทำให้ผู้ใช้ใช้อุปกรณ์อย่างมีประสิทธิภาพได้ยาก
• การแพร่กระจายและการแพร่กระจายเครือข่าย : แบ็คดอร์บางตัวมีความสามารถในการจำลองตัวเอง ทำให้สามารถแพร่กระจายผ่านเครือข่ายและทำให้อุปกรณ์อื่น ๆ ติดเชื้อได้ ซึ่งอาจส่งผลให้เกิดการประนีประนอมของเครือข่ายทั้งหมด ส่งผลกระทบต่อผู้ใช้และองค์กรหลายราย
• ความปลอดภัยเครือข่ายที่ถูกบุกรุก : สามารถใช้แบ็คดอร์เพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยเครือข่าย ทำให้ผู้โจมตีสามารถแทรกซึมเครือข่ายองค์กรในวงกว้างได้ง่ายขึ้น ซึ่งอาจนำไปสู่การละเมิดความปลอดภัยเพิ่มเติม และลดความสมบูรณ์ของข้อมูลองค์กรหรือรัฐบาลที่ละเอียดอ่อน

เพื่อลดความเสี่ยงเหล่านี้ ผู้ใช้จะต้องใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการอัพเดตซอฟต์แวร์เป็นประจำ การใช้โปรแกรมป้องกันไวรัสที่มีชื่อเสียง และฝึกฝนพฤติกรรมออนไลน์ที่ปลอดภัยเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีของมัลแวร์ลับๆ นอกจากนี้ องค์กรควรใช้โปรโตคอลความปลอดภัยเครือข่ายที่แข็งแกร่งเพื่อตรวจจับและจัดการกับภัยคุกคามที่อาจเกิดขึ้นได้ในทันที