RustDoor後門

新發現的 macOS 後門以 Rust 編碼，與著名勒索軟體組織Black Basta和 Alphv/BlackCat 有關。該惡意軟體名為 RustDoor，偽裝成 Visual Studio 支援 Intel 和 Arm 架構，自 2023 年 11 月以來一直在傳播，設法逃避偵測數月。

研究人員已經發現了 RustDoor 的各種版本，它們都具有相同的後門功能，但存在細微差別。這些變體都支援一系列用於文件收集和滲透的命令，以及收集有關受感染設備的資訊。然後收集到的資料傳輸到命令與控制 (C&C) 伺服器，其中產生受害者 ID 並在後續通訊中使用。

RustDoor 後門不斷發展其不安全功能

RustDoor 後門的初始版本於 2023 年 11 月被偵測到，似乎是測試版本。它缺乏全面的持久性機制，並且具有“測試”plist 檔案。

第二個變體據信是在一個月後出現的，它有更大的文件，包括複雜的 JSON 配置和一個 Apple 腳本，旨在從 Documents 和 Desktop 資料夾以及使用者筆記中竊取特定文件。

在受感染的系統上建立自身後，惡意軟體會將目標文件和資料複製到隱藏資料夾中，將其壓縮為 ZIP 存檔，然後將其傳輸到命令與控制 (C&C) 伺服器。某些配置指定資料收集指令，例如檔案的最大大小和數量、目標副檔名和目錄的清單或要排除的目錄。研究人員還發現 RustDoor 的配置文件允許模擬不同的應用程序，並提供自訂欺騙性管理員密碼對話框的選項。

JSON 配置引用了四種持久性機制，利用 cronjobs、LaunchAgents（導致在登入時執行）、修改檔案以確保在開啟新的 ZSH 會話時執行並將二進位檔案新增至擴充座。

第三個後門變體已經被發現，它似乎是最初的後門變體。它缺乏其他 RustDoor 變體中存在的複雜性、Apple 腳本和嵌入式配置。

該惡意軟體利用了先前與 Black Basta 和 Alphv/BlackCat 勒索軟體活動相關的三台 C&C 伺服器。 BlackCat 是第一個使用 Rust 程式語言的檔案加密勒索軟體，於 2021 年出現，並於 2023 年 12 月被拆除。

後門惡意軟體攻擊可能會對受害者造成嚴重影響

使用者裝置上存在的後門惡意軟體會帶來重大且多樣的危險，因為它會向惡意行為者授予未經授權的存取權限。以下是與用戶設備感染後門惡意軟體相關的一些潛在危險：

• 未經授權的存取和控制：後門為攻擊者提供了一個秘密入口點，使他們能夠獲得對受感染設備的未經授權的存取。一旦進入內部，他們就可以在使用者不知情或同意的情況下控制各種功能、操作文件並執行命令。
• 資料竊取和洩漏：後門通常會導致受感染設備上儲存的敏感資料被竊取和洩露。攻擊者可以存取個人資訊、財務數據、登入憑證和其他機密數據，從而導致潛在的身份盜竊、財務損失或隱私洩露。
• 間諜和監視：後門惡意軟體通常與間諜活動相關。攻擊者可以使用後門來監視使用者、監視他們的活動、捕獲螢幕截圖、記錄擊鍵，甚至存取網路攝影機或麥克風，從而損害用戶的隱私。
• 勒索軟體部署：後門有時被用作部署勒索軟體的網關。一旦攻擊者透過後門獲得存取權限，他們可能會加密使用者的文件並要求贖金以釋放文件，從而造成重大破壞和財務損失。
• 系統操縱與破壞：後門可以讓攻擊者操縱系統設定、破壞正常操作，甚至停用安全措施。這最終可能導致系統不穩定和崩潰，並使用戶難以有效使用其設備。
• 傳播和網路傳播：一些後門具有自我複製功能，允許它們跨網路傳播並感染其他設備。這可能會導致整個網路受到損害，從而影響多個使用者和組織。
• 網路安全受損：後門可用於繞過網路安全措施，使攻擊者更容易滲透到更廣泛的組織網路。這可能會導致額外的安全漏洞並損害敏感公司或政府資訊的完整性。

為了減輕這些風險，用戶採用強大的網路安全措施至關重要，包括定期軟體更新、使用信譽良好的防毒程式以及實行安全的線上行為，以避免成為後門惡意軟體攻擊的受害者。此外，組織應實施強大的網路安全協議，以及時偵測和處理潛在威脅。