RustDoor后门

新发现的 macOS 后门以 Rust 编码，与著名勒索软件组织Black Basta和 Alphv/BlackCat 有关。该恶意软件名为 RustDoor，伪装成 Visual Studio 支持 Intel 和 Arm 架构，自 2023 年 11 月以来一直在传播，设法逃避检测数月。

研究人员已经发现了 RustDoor 的各种版本，它们都具有相同的后门功能，但存在细微差别。这些变体都支持一系列用于文件收集和渗透的命令，以及收集有关受感染设备的信息。然后收集到的数据被传输到命令与控制 (C&C) 服务器，其中生成受害者 ID 并在后续通信中使用。

RustDoor 后门不断发展其不安全功能

RustDoor 后门的初始版本于 2023 年 11 月检测到，似乎是一个测试版本。它缺乏全面的持久性机制，并且具有“测试”plist 文件。

据信一个月后出现的第二个变体具有更大的文件，并包含复杂的 JSON 配置和 Apple 脚本，该脚本旨在从“文档”和“桌面”文件夹以及用户笔记中窃取特定文档。

在受感染的系统上建立自身后，恶意软件会将目标文档和数据复制到隐藏文件夹中，将其压缩为 ZIP 存档，然后将其传输到命令与控制 (C&C) 服务器。某些配置指定数据收集指令，例如文件的最大大小和数量、目标扩展名和目录的列表或要排除的目录。研究人员还发现 RustDoor 的配置文件允许模拟不同的应用程序，并提供自定义欺骗性管理员密码对话框的选项。

JSON 配置引用了四种持久性机制，利用 cronjobs、LaunchAgents（导致在登录时执行）、修改文件以确保在打开新的 ZSH 会话时执行并将二进制文件添加到扩展坞。

第三个后门变体已经被发现，它似乎是最初的后门变体。它缺乏其他 RustDoor 变体中存在的复杂性、Apple 脚本和嵌入式配置。

该恶意软件利用了之前与 Black Basta 和 Alphv/BlackCat 勒索软件活动相关的三台 C&C 服务器。 BlackCat 是第一个使用 Rust 编程语言的文件加密勒索软件，于 2021 年出现，并于 2023 年 12 月被拆除。

后门恶意软件攻击可能会给受害者带来严重影响

用户设备上存在的后门恶意软件会带来重大且多样的危险，因为它会向恶意行为者授予未经授权的访问权限。以下是与用户设备感染后门恶意软件相关的一些潜在危险：

• 未经授权的访问和控制：后门为攻击者提供了一个秘密入口点，使他们能够获得对受感染设备的未经授权的访问。一旦进入内部，他们就可以在用户不知情或同意的情况下控制各种功能、操作文件并执行命令。
• 数据盗窃和泄露：后门通常会导致受感染设备上存储的敏感数据被盗窃和泄露。攻击者可以访问个人信息、财务数据、登录凭据和其他机密数据，从而导致潜在的身份盗窃、财务损失或隐私泄露。
• 间谍和监视：后门恶意软件通常与间谍活动相关。攻击者可以使用后门来监视用户、监视他们的活动、捕获屏幕截图、记录击键，甚至访问网络摄像头或麦克风，从而损害用户的隐私。
• 勒索软件部署：后门有时被用作部署勒索软件的网关。一旦攻击者通过后门获得访问权限，他们可能会加密用户的文件并索要赎金以释放文件，从而造成重大破坏和财务损失。
• 系统操纵和破坏：后门可以让攻击者操纵系统设置、破坏正常操作，甚至禁用安全措施。这最终可能导致系统不稳定和崩溃，并使用户难以有效使用其设备。
• 传播和网络传播：一些后门具有自我复制功能，允许它们跨网络传播并感染其他设备。这可能会导致整个网络受到损害，从而影响多个用户和组织。
• 网络安全受损：后门可用于绕过网络安全措施，使攻击者更容易渗透到更广泛的组织网络。这可能会导致额外的安全漏洞并损害敏感公司或政府信息的完整性。

为了减轻这些风险，用户采用强大的网络安全措施至关重要，包括定期软件更新、使用信誉良好的防病毒程序以及实行安全的在线行为，以避免成为后门恶意软件攻击的受害者。此外，组织应实施强大的网络安全协议，以及时检测和处理潜在威胁。