RustDoor macOS backdoor

RustDoor macOS backdoor je novi zlonamjerni softver napisan u Rust programskom jeziku i čini se da je povezan sa zlonamjernim akterima koji stoje iz Black Basta i Alphv/BlackCat stoji u izvještaju sigurnosne kompanije Bitdefender.

RustDoor backdoor

RustDoor macOS backdoor; Source: Bing Image Creator

RUSTDOOR

Zlonamjerni softver RustDoor oponaša Visual Studio integrisano razvojno okruženje, sa podrškom za Intel i Arm arhitekture. Pretpostavlja se da je u cirkulaciji od novembra 2023. godine, ostao je neotkriven oko tri mjeseca. Sigurnosni istraživači su identifikovali nekoliko varijanti zlonamjernog softvera koji dijele istu backdoor funkcionalnost uz manje varijacije.

Svi analizirani uzorci podržavaju više komandi za prikupljanje i eksfiltraciju datoteka i prikupljanje detalja o inficiranom uređaju. Informacije se šalju serveru za komandu i kontrolu (C&C) da generiše ID žrtve koji se koristi u kasnijoj komunikaciji. Prva backdoor  varijanta koja se pojavila u novembru 2023. godine je vjerovatno bila testna verzija kojoj je nedostajao potpuni mehanizam postojanosti i koja je takođe sadržala datoteku plist pod nazivom “test”.

 

DISTRIBUCIJA

RustDoor distribuira prvenstveno kao ažuriranje za Visual Studio za Mac, Microsoft integrisano razvojno okruženje za macOS platformu, pod više naziva, uključujući:

  • zshrc2,
  • Previewers,
  • VisualStudioUpdater,
  • VisualStudioUpdater_Patch,
  • VisualStudioUpdating,
  • visualstudioupdate,
  • DO_NOT_RUN_ChromeUpdates.

 

Prema dostupnim informacijama, zlonamjerni softver je bio distribuiran najmanje tri mjeseca prije nego što je otkriven. Sigurnosni istraživači su otkrili tri verzije zlonamjernog softvera koji dolaze kao binarni FAT fajlovi koji uključuju Mach-O datoteke i za x86_64 Intel  i ARM arhitekture, ali ne dolaze u paketu u tipičnim datotekama kao što su paketi aplikacija ili slike diska. Sigurnosni istraživači smatraju da da ovaj neobičan metod distribucije smanjuje digitalni otisak kampanje i smanjuje vjerovatnoću da bezbjednosni proizvodi označe backdoor kao sumnjiv.

 

RUSTDOOR BACKDOOR MOGUĆNOSTI

Analizirajući ovaj zlonamjerni softver, sigurnosni istraživači su došli do zaključka da on ima komande za kontrolu kompromitovanog sistema i eksfiltriranje podataka, i da može da opstane na uređaju modifikujući sistemske datoteke.

Nakon infekcije uređaja, zlonamjerni softver komunicira sa komandnim i kontrolnim (C2) serverima koristeći specifične krajnje tačke za registraciju, izvršavanje zadataka i eksfiltraciju podataka. Komande koje podržava zlonamjerni softver daju mu sljedeće mogućnosti:

  • Praćenje pokrenutih procesa, što je korisno za praćenje aktivnosti sistema,
  • Izvršavanje komandi u komandnom okruženju, dajući napadačima direktnu kontrolu nad uređajem,
  • Mijenjanja trenutnog direktoriju, što omogućava navigaciju kroz sistem datoteka,
  • Mogućnost kreiranja novih direktorijuma koji se mogu koristiti za organizovanje ukradenih podataka ili komponenti zlonamjernog softvera,
  • Uklanjanje datoteka kao potencijal za brisanje važnih datoteka ili uklanjanje tragova zlonamjernog softvera, kao i mogućnost uklanjanja direktorijuma,
  • Pauziranje izvršavanja na određeno vrijeme, vjerovatno zbog izbjegavanja detekcije ili sinhronih radnji,
  • Slanje datoteka na udaljeni server,
  • Prekidanje dugih procesa vjerovatno radi eliminisanja konkurencije ili oslobađanja sistemskih resursa,
  • Prikazivanje poruka ili upita, potencijalno za phishing ili za izvršavanje komandi sa korisničkim privilegijama,
  • Gašenje procesa, korisno za zaustavljanje bezbjednosnog softvera ili drugih procesa koji ometaju zlonamjerni softver,
  • Preuzimanje datoteka sa udaljenog servera, koje se koriste za unošenje dodatnih komponenti zlonamjernog softvera ili ažuriranja na zaraženi sistem.

 

Backdoor koristi Cron poslove i LaunchAgents da zakaže svoje izvršavanje u određeno vreme ili kada se korisnik prijavi, čime se osigurava da preživi ponovno pokretanje sistema. Pored toga, on pravi izmjene u ~/.zshrc datoteci da bi se izvršila u novim terminalskim sesijama ili se dodala u Dock pomoću sistemskih komandi, što mu pomaže da se uklopi sa legitimnim aplikacijama i aktivnostima korisnika.

 

ZAKLJUČAK

Strategija distribucije zlonamjernog softvera je lukava koliko je i njegova funkcionalnost raznovrsna. Maskirajući se u ažuriranje za Visual Studio integrisano razvojno okruženje za Mac, RustDoor uspijeva da izbjegne da ga otkrije većina odbrambenih sistema. On usvaja različite maske, uključujući imena koja zvuče bezazleno, čime se provlači ispod radara mnogih bezbjednosnih riješenja i istraživača.

 

ZAŠTITA

Kako bi se zaštitili, korisnici mogu slijediti ove preporuke:

  • Redovno održavanje programa obuke korisnika kako bi se edukovali o načinima prepoznavanja phishing napada, zlonamjernih aktivnosti i drugih povezanih aktivnosti, kako bi se kod korisnika stvorila kultura svjesne sajber bezbjednosti  koja će omogućiti prepoznavanje i prijavu sumnjivih aktivnosti,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.