Cửa Sau RustDoor

Một cửa hậu macOS mới được phát hiện, được mã hóa bằng Rust, đã được liên kết với các nhóm ransomware nổi tiếng Black Basta và Alphv/BlackCat. Được đặt tên là RustDoor, phần mềm độc hại này được cho là Visual Studio hỗ trợ cả kiến trúc Intel và Arm và đã lây lan từ tháng 11 năm 2023, tìm cách tránh bị phát hiện trong nhiều tháng.

Các nhà nghiên cứu đã xác định được nhiều phiên bản khác nhau của RustDoor, tất cả đều có chung chức năng cửa sau với những khác biệt nhỏ. Tất cả các biến thể này đều hỗ trợ một loạt lệnh để thu thập và trích xuất tệp, cũng như thu thập thông tin về thiết bị bị nhiễm. Sau đó, dữ liệu được thu thập sẽ được truyền đến máy chủ Chỉ huy và Kiểm soát (C&C), nơi ID nạn nhân được tạo và sử dụng trong các lần liên lạc tiếp theo.

Cửa hậu RustDoor đã và đang phát triển các khả năng không an toàn của nó

Phiên bản đầu tiên của RustDoor Backdoor, được phát hiện vào tháng 11 năm 2023, dường như đã hoạt động như một bản phát hành thử nghiệm. Nó thiếu cơ chế duy trì toàn diện và có tệp plist 'thử nghiệm'.

Biến thể thứ hai, được cho là xuất hiện một tháng sau đó, có tệp lớn hơn và bao gồm cấu hình JSON phức tạp cũng như tập lệnh Apple được thiết kế để lọc các tài liệu cụ thể từ thư mục Tài liệu và Máy tính để bàn cũng như ghi chú của người dùng.

Khi tự thiết lập trên các hệ thống bị xâm nhập, phần mềm độc hại sẽ sao chép các tài liệu và dữ liệu được nhắm mục tiêu vào một thư mục ẩn, nén chúng vào kho lưu trữ ZIP rồi truyền chúng đến máy chủ Lệnh và Kiểm soát (C&C). Một số cấu hình chỉ định hướng dẫn thu thập dữ liệu, chẳng hạn như kích thước và số lượng tệp tối đa, danh sách các tiện ích mở rộng và thư mục được nhắm mục tiêu hoặc thư mục cần loại trừ. Các nhà nghiên cứu cũng phát hiện ra rằng tệp cấu hình của RustDoor cho phép mạo danh các ứng dụng khác nhau, với các tùy chọn để tùy chỉnh hộp thoại mật khẩu quản trị viên giả mạo.

Cấu hình JSON tham chiếu bốn cơ chế lưu giữ lâu dài, sử dụng cronjobs, LaunchAgents (dẫn đến thực thi khi đăng nhập), sửa đổi tệp để đảm bảo thực thi khi mở phiên ZSH mới và thêm tệp nhị phân vào dock.

Biến thể cửa sau thứ ba đã được phát hiện và có vẻ như đó là biến thể ban đầu. Nó thiếu sự phức tạp, tập lệnh Apple và cấu hình nhúng có trong các biến thể RustDoor khác.

Phần mềm độc hại sử dụng ba máy chủ C&C trước đây được liên kết với các chiến dịch Ransomware Black Basta và Alphv/BlackCat. BlackCat, ransomware mã hóa tệp đầu tiên bằng ngôn ngữ lập trình Rust, xuất hiện vào năm 2021 và bị phá hủy vào tháng 12 năm 2023.

Các cuộc tấn công bằng phần mềm độc hại bằng cửa sau có thể gây ra hậu quả nghiêm trọng cho nạn nhân

Sự hiện diện của phần mềm độc hại cửa sau trên thiết bị của người dùng gây ra những mối nguy hiểm đáng kể và đa dạng vì nó cấp quyền truy cập trái phép cho các tác nhân độc hại. Dưới đây là một số mối nguy hiểm tiềm ẩn liên quan đến việc thiết bị của người dùng bị nhiễm phần mềm độc hại cửa sau:

• Truy cập và kiểm soát trái phép : Backdoor cung cấp điểm vào bí mật cho kẻ tấn công, cho phép chúng truy cập trái phép vào thiết bị bị nhiễm. Khi vào bên trong, chúng có thể kiểm soát nhiều chức năng khác nhau, thao tác với tệp và thực thi các lệnh mà người dùng không biết hoặc không đồng ý.
• Trộm cắp và lấy cắp dữ liệu : Backdoor thường cho phép đánh cắp và lấy cắp dữ liệu nhạy cảm được lưu trữ trên thiết bị bị xâm nhập. Những kẻ tấn công có thể truy cập thông tin cá nhân, dữ liệu tài chính, thông tin đăng nhập và dữ liệu bí mật khác, dẫn đến khả năng bị đánh cắp danh tính, tổn thất tài chính hoặc vi phạm quyền riêng tư.
• Gián điệp và Giám sát : Phần mềm độc hại cửa sau thường liên quan đến các hoạt động gián điệp. Những kẻ tấn công có thể sử dụng cửa sau để theo dõi người dùng, theo dõi hoạt động của họ, chụp ảnh màn hình, ghi lại thao tác bàn phím và thậm chí truy cập webcam hoặc micrô, xâm phạm quyền riêng tư của người dùng.
• Triển khai ransomware : Backdoor đôi khi được sử dụng làm cổng để triển khai ransomware. Sau khi kẻ tấn công giành được quyền truy cập thông qua cửa sau, chúng có thể mã hóa các tệp của người dùng và yêu cầu tiền chuộc để giải phóng chúng, gây ra sự gián đoạn và tổn thất tài chính đáng kể.
• Thao tác và gián đoạn hệ thống : Backdoor có thể cho phép kẻ tấn công thao túng cài đặt hệ thống, làm gián đoạn hoạt động bình thường hoặc thậm chí vô hiệu hóa các biện pháp bảo mật. Điều này có thể dẫn đến sự mất ổn định và sự cố của hệ thống, đồng thời khiến người dùng gặp khó khăn trong việc sử dụng thiết bị của mình một cách hiệu quả.
• Lan truyền và lây lan mạng : Một số backdoor có khả năng tự sao chép, cho phép chúng lây lan trên các mạng và lây nhiễm sang các thiết bị khác. Điều này có thể dẫn đến sự xâm phạm toàn bộ mạng, ảnh hưởng đến nhiều người dùng và tổ chức.
• An ninh mạng bị xâm phạm : Backdoor có thể được sử dụng để vượt qua các biện pháp an ninh mạng, giúp kẻ tấn công xâm nhập vào các mạng tổ chức rộng hơn dễ dàng hơn. Điều này có thể dẫn đến các vi phạm bảo mật bổ sung và làm tổn hại đến tính toàn vẹn của thông tin nhạy cảm của công ty hoặc chính phủ.

Để giảm thiểu những rủi ro này, điều quan trọng là người dùng phải sử dụng các biện pháp an ninh mạng mạnh mẽ, bao gồm cập nhật phần mềm thường xuyên, sử dụng các chương trình chống vi-rút có uy tín và thực hành các hành vi trực tuyến an toàn để tránh trở thành nạn nhân của các cuộc tấn công phần mềm độc hại cửa sau. Ngoài ra, các tổ chức nên triển khai các giao thức bảo mật mạng mạnh mẽ để phát hiện và xử lý kịp thời các mối đe dọa tiềm ẩn.