Бекдор RustDoor

Нещодавно виявлений бекдор macOS, закодований у Rust, був пов’язаний із відомими групами програм-вимагачів Black Basta та Alphv/BlackCat. Зловмисне програмне забезпечення під назвою RustDoor представляє, що Visual Studio підтримує архітектури Intel і Arm і поширюється з листопада 2023 року, ухиляючись від виявлення протягом кількох місяців.

Дослідники визначили різні версії RustDoor, усі вони мають однакову функціональність бекдору з незначними відмінностями. Усі ці варіанти підтримують низку команд для збирання та вилучення файлів, а також збору інформації про заражений пристрій. Потім зібрані дані передаються на сервер командування та управління (C&C), де генерується ідентифікатор жертви, який використовується в подальшому спілкуванні.

Бекдор RustDoor розвивав свої небезпечні можливості

Початкова версія RustDoor Backdoor, виявлена в листопаді 2023 року, здається, функціонувала як тестовий випуск. Йому бракувало повного механізму збереження та містився «тестовий» файл plist.

Другий варіант, який, як вважають, з’явився через місяць, мав більші файли та включав складну конфігурацію JSON і сценарій Apple, розроблений для вилучення певних документів із папок «Документи» та «Робочий стіл» і нотаток користувача.

Потрапляючи на скомпрометовані системи, зловмисне програмне забезпечення копіює цільові документи та дані до прихованої папки, стискає їх у ZIP-архів, а потім передає на сервер командування та керування (C&C). Деякі конфігурації вказують інструкції зі збору даних, наприклад максимальний розмір і кількість файлів, списки цільових розширень і каталогів або каталогів, які потрібно виключити. Дослідники також виявили, що конфігураційний файл RustDoor дозволяє імітувати різні програми з опціями для налаштування діалогового вікна підробленого пароля адміністратора.

Конфігурація JSON посилається на чотири механізми збереження, використовуючи cronjobs, LaunchAgents (що призводить до виконання під час входу в систему), модифікацію файлу для забезпечення виконання після відкриття нового сеансу ZSH і додавання двійкового файлу до док-станції.

Було виявлено третій варіант бекдору, і, здається, він є оригінальним. Йому бракує складності, сценарію Apple і вбудованої конфігурації, які присутні в інших варіантах RustDoor.

Зловмисне програмне забезпечення використовує три сервери C&C, раніше пов’язані з кампаніями Black Basta та Alphv/BlackCat Ransomware. BlackCat, перше програмне забезпечення-вимагач для шифрування файлів на мові програмування Rust, з’явилося в 2021 році та було демонтовано в грудні 2023 року.

Атаки зловмисного програмного забезпечення можуть мати серйозні наслідки для жертв

Присутність бекдор-зловмисного програмного забезпечення на пристроях користувачів створює значні та різноманітні небезпеки, оскільки воно надає несанкціонований доступ зловмисникам. Ось деякі потенційні небезпеки, пов’язані з зараженням пристроїв користувачів шкідливим програмним забезпеченням для бекдорів:

• Несанкціонований доступ і контроль : бекдори забезпечують секретну точку входу для зловмисників, що дозволяє їм отримати несанкціонований доступ до зараженого пристрою. Потрапивши всередину, вони можуть контролювати різні функції, маніпулювати файлами та виконувати команди без відома або згоди користувача.
• Крадіжка та викрадання даних : бекдори часто дозволяють викрадати та викрадати конфіденційні дані, що зберігаються на скомпрометованому пристрої. Зловмисники можуть отримати доступ до особистої інформації, фінансових даних, облікових даних для входу та інших конфіденційних даних, що може призвести до крадіжки особистих даних, фінансових втрат або порушення конфіденційності.
• Шпигунство та стеження : бекдорне шкідливе програмне забезпечення зазвичай асоціюється зі шпигунською діяльністю. Зловмисники можуть використовувати бекдор, щоб шпигувати за користувачами, відстежувати їхню діяльність, робити знімки екрана, записувати натискання клавіш і навіть отримувати доступ до веб-камер або мікрофонів, порушуючи конфіденційність користувачів.
• Розгортання програм-вимагачів : бекдори іноді використовуються як шлюз для розгортання програм-вимагачів. Коли зловмисники отримають доступ через бекдор, вони можуть зашифрувати файли користувача та вимагати викуп за їх звільнення, спричиняючи значні збої та фінансові втрати.
• Маніпуляції системою та збої : бекдори можуть дозволити зловмисникам маніпулювати налаштуваннями системи, порушувати нормальні операції або навіть вимикати заходи безпеки. Це може призвести до нестабільності системи та збоїв, а користувачам буде складно ефективно використовувати свої пристрої.
• Розповсюдження та поширення в мережі : деякі бекдори мають здатність до самовідтворення, що дозволяє їм поширюватися мережами та заражати інші пристрої. Це може призвести до зламу цілих мереж, що вплине на кількох користувачів і організації.
• Порушена безпека мережі : бекдори можна використовувати для обходу заходів безпеки мережі, полегшуючи зловмисникам проникнення в ширші організаційні мережі. Це може призвести до додаткових порушень безпеки та поставити під загрозу цілісність конфіденційної корпоративної чи урядової інформації.

Щоб пом’якшити ці ризики, користувачам вкрай важливо застосовувати надійні заходи кібербезпеки, зокрема регулярні оновлення програмного забезпечення, використання перевірених антивірусних програм і практикувати безпечну поведінку в Інтернеті, щоб не стати жертвою бекдорних атак зловмисного програмного забезпечення. Крім того, організації повинні запровадити надійні протоколи безпеки мережі, щоб швидко виявляти потенційні загрози та впоратися з ними.