Pas Kapısı Arka Kapısı

Yeni keşfedilen ve Rust'ta kodlanan bir macOS arka kapısı, tanınmış fidye yazılımı grupları Black Basta ve Alphv/BlackCat ile ilişkilendirildi. RustDoor olarak adlandırılan kötü amaçlı yazılım, Visual Studio'nun hem Intel hem de Arm mimarilerini desteklediğini gösteriyor ve Kasım 2023'ten bu yana dolaşımda olup birkaç ay boyunca tespit edilmekten kurtulmayı başarıyor.

Araştırmacılar RustDoor'un çeşitli sürümlerini belirlediler; bunların tümü küçük farklılıklarla aynı arka kapı işlevini paylaşıyordu. Bu değişkenlerin tümü, dosya toplama ve dışarı çıkarmanın yanı sıra virüslü cihaz hakkında bilgi toplamaya yönelik bir dizi komutu destekler. Toplanan veriler daha sonra bir Komuta ve Kontrol (C&C) sunucusuna iletilir ve burada bir kurban kimliği oluşturulur ve sonraki iletişimlerde kullanılır.

RustDoor Arka Kapısı Güvenli Olmayan Yeteneklerini Geliştiriyor

RustDoor Backdoor'un Kasım 2023'te tespit edilen ilk sürümü, bir test sürümü işlevi görmüş gibi görünüyor. Kapsamlı bir kalıcılık mekanizmasından yoksundu ve bir 'test' plist dosyası içeriyordu.

Bir ay sonra ortaya çıktığına inanılan ikinci varyant, daha büyük dosyalara sahipti ve karmaşık bir JSON yapılandırması ile Belgeler ve Masaüstü klasörlerinden ve kullanıcı notlarından belirli belgeleri çıkarmak için tasarlanmış bir Apple komut dosyası içeriyordu.

Kötü amaçlı yazılım, ele geçirilen sistemlere yerleştikten sonra hedeflenen belgeleri ve verileri gizli bir klasöre kopyalar, bunları bir ZIP arşivine sıkıştırır ve ardından Komuta ve Kontrol (C&C) sunucusuna iletir. Bazı yapılandırmalar, maksimum dosya boyutu ve sayısı, hedeflenen uzantıların ve dizinlerin listeleri veya hariç tutulacak dizinler gibi veri toplama talimatlarını belirtir. Araştırmacılar ayrıca RustDoor'un yapılandırma dosyasının sahte yönetici parolası iletişim kutusunu özelleştirme seçenekleriyle birlikte farklı uygulamaların kimliğine bürünülmesine izin verdiğini buldu.

JSON yapılandırması, cronjobs, LaunchAgents (oturum açma sırasında yürütmeyle sonuçlanan) kullanan, yeni bir ZSH oturumu açıldığında yürütülmesini sağlamak için bir dosyayı değiştiren ve ikili dosyayı dock'a ekleyen dört kalıcılık mekanizmasına atıfta bulunur.

Üçüncü bir arka kapı çeşidi keşfedildi ve orijinali gibi görünüyor. Diğer RustDoor varyantlarında bulunan karmaşıklıktan, Apple komut dosyasından ve yerleşik yapılandırmadan yoksundur.

Kötü amaçlı yazılım, daha önce Black Basta ve Alphv/BlackCat Ransomware kampanyalarına bağlı üç C&C sunucusunu kullanıyor. Rust programlama dilindeki ilk dosya şifreleme fidye yazılımı olan BlackCat, 2021'de ortaya çıktı ve Aralık 2023'te kaldırıldı.

Arka Kapı Kötü Amaçlı Yazılım Saldırılarının Kurbanlar Üzerinde Ciddi Yankıları Olabilir

Kullanıcıların cihazlarında arka kapı kötü amaçlı yazılımlarının varlığı, kötü niyetli aktörlere yetkisiz erişim sağladığı için önemli ve çeşitli tehlikeler oluşturur. Kullanıcıların cihazlarına arka kapı kötü amaçlı yazılım bulaşmasıyla ilişkili bazı potansiyel tehlikeler şunlardır:

• Yetkisiz Erişim ve Kontrol : Arka kapılar, saldırganlara gizli bir giriş noktası sağlayarak, virüslü cihaza yetkisiz erişim sağlamalarına olanak tanır. İçeri girdikten sonra, kullanıcının bilgisi veya izni olmadan çeşitli işlevlerin kontrolünü ele geçirebilir, dosyaları değiştirebilir ve komutları çalıştırabilirler.
• Veri Hırsızlığı ve Sızıntısı : Arka kapılar genellikle ele geçirilen cihazda depolanan hassas verilerin çalınmasına ve sızdırılmasına olanak tanır. Saldırganlar kişisel bilgilere, finansal verilere, oturum açma kimlik bilgilerine ve diğer gizli verilere erişebilir ve bu da potansiyel kimlik hırsızlığına, mali kayba veya gizlilik ihlallerine yol açabilir.
• Casusluk ve Gözetleme : Arka kapı kötü amaçlı yazılımları genellikle casusluk faaliyetleriyle ilişkilendirilir. Saldırganlar arka kapıyı kullanarak kullanıcıları gözetleyebilir, etkinliklerini izleyebilir, ekran görüntüleri yakalayabilir, tuş vuruşlarını kaydedebilir ve hatta web kameralarına veya mikrofonlara erişerek kullanıcıların gizliliğini tehlikeye atabilir.
• Fidye Yazılımı Dağıtımı : Arka kapılar bazen fidye yazılımı dağıtımı için bir ağ geçidi olarak kullanılır. Saldırganlar bir arka kapıdan erişim sağladıktan sonra kullanıcının dosyalarını şifreleyebilir ve bunların serbest bırakılması için fidye talep edebilir, bu da ciddi bir kesintiye ve mali kayba neden olabilir.
• Sistem Manipülasyonu ve Bozulması : Arka kapılar, saldırganların sistem ayarlarını değiştirmesine, normal işlemleri kesintiye uğratmasına ve hatta güvenlik önlemlerini devre dışı bırakmasına olanak sağlayabilir. Bu, sistem kararsızlığına ve çökmelere neden olabilir ve kullanıcıların cihazlarını etkili bir şekilde kullanmasını zorlaştırabilir.
• Yayılma ve Ağa Yayılma : Bazı arka kapıların kendi kendini kopyalama yetenekleri vardır, bu onların ağlara yayılmasına ve diğer cihazlara bulaşmasına olanak tanır. Bu, birden fazla kullanıcıyı ve kuruluşu etkileyerek tüm ağın güvenliğinin ihlal edilmesine neden olabilir.
• Güvenliği Aşan Ağ Güvenliği : Arka kapılar, ağ güvenlik önlemlerini atlamak için kullanılabilir ve saldırganların daha geniş kurumsal ağlara sızmasını kolaylaştırır. Bu, ek güvenlik ihlallerine yol açabilir ve hassas kurumsal veya hükümet bilgilerinin bütünlüğünü tehlikeye atabilir.

Bu riskleri azaltmak için kullanıcıların, düzenli yazılım güncellemeleri, saygın antivirüs programlarının kullanımı ve arka kapı kötü amaçlı yazılım saldırılarının kurbanı olmaktan kaçınmak için güvenli çevrimiçi davranışlar da dahil olmak üzere sağlam siber güvenlik önlemleri alması çok önemlidir. Ayrıca kuruluşların potansiyel tehditleri hızlı bir şekilde tespit etmek ve ele almak için güçlü ağ güvenliği protokolleri uygulaması gerekir.