{"id":6153,"date":"2024-02-13T22:09:49","date_gmt":"2024-02-13T21:09:49","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6153"},"modified":"2024-02-13T22:09:49","modified_gmt":"2024-02-13T21:09:49","slug":"rustdoor-macos-backdoor","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/13\/rustdoor-macos-backdoor\/","title":{"rendered":"RustDoor macOS backdoor"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>RustDoor macOS <\/em><a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em><\/a> je novi <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> napisan u <em>Rust<\/em> programskom jeziku i \u010dini se da je povezan sa <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> koji stoje iz <em>Black Basta<\/em> i <a href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/22\/alphv-blackcat-ransomware-pad-i-povratak\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Alphv\/BlackCat<\/em><\/a> <a href=\"https:\/\/www.bitdefender.com\/blog\/labs\/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group\/\" target=\"_blank\" rel=\"noopener\">stoji u izvje\u0161taju sigurnosne kompanije <em>Bitdefender<\/em><\/a>.<\/span><\/p>\n<div id=\"attachment_6156\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6156\" class=\"size-full wp-image-6156\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor.jpg\" alt=\"RustDoor backdoor\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/RustDoor-macOS-backdoor-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6156\" class=\"wp-caption-text\"><em>RustDoor macOS backdoor; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/13\/rustdoor-macos-backdoor\/#RUSTDOOR\">RUSTDOOR<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/13\/rustdoor-macos-backdoor\/#DISTRIBUCIJA\">DISTRIBUCIJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/13\/rustdoor-macos-backdoor\/#RUSTDOOR_BACKDOOR_MOGUCNOSTI\">RUSTDOOR BACKDOOR MOGU\u0106NOSTI<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/13\/rustdoor-macos-backdoor\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/13\/rustdoor-macos-backdoor\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"RUSTDOOR\"><\/span><span style=\"font-size: 14pt;\"><strong><em>RUSTDOOR<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>RustDoor<\/em> opona\u0161a <em>Visual<\/em> <em>Studio<\/em> integrisano razvojno okru\u017eenje, sa podr\u0161kom za <em>Intel<\/em> i <em>Arm<\/em> arhitekture. Pretpostavlja se da je u cirkulaciji od novembra 2023. godine, ostao je neotkriven oko tri mjeseca. Sigurnosni istra\u017eiva\u010di su identifikovali nekoliko varijanti zlonamjernog softvera koji dijele istu <em>backdoor<\/em> funkcionalnost uz manje varijacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Svi analizirani uzorci podr\u017eavaju vi\u0161e komandi za prikupljanje i eksfiltraciju datoteka i prikupljanje detalja o inficiranom ure\u0111aju. Informacije se \u0161alju serveru za komandu i kontrolu (<em>C&amp;C<\/em>) da generi\u0161e <em>ID<\/em> \u017ertve koji se koristi u kasnijoj komunikaciji. Prva <em>backdoor\u00a0 <\/em>varijanta koja se pojavila u novembru 2023. godine je vjerovatno bila testna verzija kojoj je nedostajao potpuni mehanizam postojanosti i koja je tako\u0111e sadr\u017eala datoteku <em>plist<\/em> pod nazivom \u201c<em>test\u201d<\/em>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DISTRIBUCIJA\"><\/span><span style=\"font-size: 14pt;\"><strong>DISTRIBUCIJA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>RustDoor<\/em> distribuira prvenstveno kao a\u017euriranje za <em>Visual Studio<\/em> za <em>Mac<\/em>, <em>Microsoft<\/em> integrisano razvojno okru\u017eenje za <em>macOS<\/em> platformu, pod vi\u0161e naziva, uklju\u010duju\u0107i:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><em>zshrc2,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Previewers,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VisualStudioUpdater,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VisualStudioUpdater_Patch,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VisualStudioUpdating,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>visualstudioupdate,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>DO_NOT_RUN_ChromeUpdates.<\/em><\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Prema dostupnim informacijama, zlonamjerni softver je bio distribuiran najmanje tri mjeseca prije nego \u0161to je otkriven. Sigurnosni istra\u017eiva\u010di su otkrili tri verzije zlonamjernog softvera koji dolaze kao binarni <a href=\"https:\/\/sajberinfo.com\/en\/2022\/12\/16\/sistemi-datoteka\/#File_Allocation_Table_32_FAT32\" target=\"_blank\" rel=\"nofollow noopener\"><em>FAT<\/em><\/a> fajlovi koji uklju\u010duju <em>Mach-O<\/em> datoteke i za <em>x86_64 Intel<\/em>\u00a0 i <em>ARM<\/em> arhitekture, ali ne dolaze u paketu u tipi\u010dnim datotekama kao \u0161to su paketi aplikacija ili slike diska. Sigurnosni istra\u017eiva\u010di smatraju da da ovaj neobi\u010dan metod distribucije smanjuje digitalni otisak kampanje i smanjuje vjerovatno\u0107u da <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosni proizvodi<\/a> ozna\u010de <em>backdoor<\/em> kao sumnjiv.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"RUSTDOOR_BACKDOOR_MOGUCNOSTI\"><\/span><span style=\"font-size: 14pt;\"><strong><em>RUSTDOOR<\/em> <em>BACKDOOR<\/em> MOGU\u0106NOSTI<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Analiziraju\u0107i ovaj zlonamjerni softver, sigurnosni istra\u017eiva\u010di su do\u0161li do zaklju\u010dka da on ima komande za kontrolu kompromitovanog sistema i eksfiltriranje podataka, i da mo\u017ee da opstane na ure\u0111aju modifikujuc\u0301i sistemske datoteke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon infekcije ure\u0111aja, zlonamjerni softver komunicira sa komandnim i kontrolnim (<em>C2<\/em>) serverima koriste\u0107i specifi\u010dne krajnje ta\u010dke za registraciju, izvr\u0161avanje zadataka i eksfiltraciju podataka. Komande koje podr\u017eava zlonamjerni softver daju mu sljede\u0107e mogu\u0107nosti:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Pra\u0107enje pokrenutih procesa, \u0161to je korisno za pra\u0107enje aktivnosti sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izvr\u0161avanje komandi u komandnom okru\u017eenju, daju\u0107i napada\u010dima direktnu kontrolu nad ure\u0111ajem,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Mijenjanja trenutnog direktoriju, \u0161to omogu\u0107ava navigaciju kroz sistem datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Mogu\u0107nost kreiranja novih direktorijuma koji se mogu koristiti za organizovanje ukradenih podataka ili komponenti zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uklanjanje datoteka kao potencijal za brisanje va\u017enih datoteka ili uklanjanje tragova zlonamjernog softvera, kao i mogu\u0107nost uklanjanja direktorijuma,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pauziranje izvr\u0161avanja na odre\u0111eno vrijeme, vjerovatno zbog izbjegavanja detekcije ili sinhronih radnji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Slanje datoteka na udaljeni server,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prekidanje dugih procesa vjerovatno radi eliminisanja konkurencije ili osloba\u0111anja sistemskih resursa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prikazivanje poruka ili upita, potencijalno za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>ili za izvr\u0161avanje komandi sa korisni\u010dkim privilegijama,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ga\u0161enje procesa, korisno za zaustavljanje bezbjednosnog softvera ili drugih procesa koji ometaju zlonamjerni softver,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Preuzimanje datoteka sa udaljenog servera, koje se koriste za uno\u0161enje dodatnih komponenti zlonamjernog softvera ili a\u017euriranja na zara\u017eeni sistem.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>Backdoor<\/em> koristi <em>Cron<\/em> poslove i <em>LaunchAgents<\/em> da zaka\u017ee svoje izvr\u0161avanje u odre\u0111eno vreme ili kada se korisnik prijavi, \u010dime se osigurava da pre\u017eivi ponovno pokretanje sistema. Pored toga, on pravi izmjene u ~\/.zshrc datoteci da bi se izvr\u0161ila u novim terminalskim sesijama ili se dodala u <em>Dock<\/em> pomo\u0107u sistemskih komandi, \u0161to mu poma\u017ee da se uklopi sa legitimnim aplikacijama i aktivnostima korisnika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Strategija distribucije zlonamjernog softvera je lukava koliko je i njegova funkcionalnost raznovrsna. Maskiraju\u0107i se u a\u017euriranje za <em>Visual<\/em> <em>Studio<\/em> integrisano razvojno okru\u017eenje za <em>Mac, RustDoor<\/em> uspijeva da izbjegne da ga otkrije ve\u0107ina odbrambenih sistema. On usvaja razli\u010dite maske, uklju\u010duju\u0107i imena koja zvu\u010de bezazleno, \u010dime se provla\u010di ispod radara mnogih bezbjednosnih rije\u0161enja i istra\u017eiva\u010da.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161titili, korisnici mogu slijediti ove preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Redovno odr\u017eavanje programa obuke korisnika kako bi se edukovali o na\u010dinima prepoznavanja <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em><\/a> napada, zlonamjernih aktivnosti i drugih povezanih aktivnosti, kako bi se kod korisnika stvorila kultura svjesne sajber bezbjednosti\u00a0 koja \u0107e omogu\u0107iti prepoznavanje i prijavu sumnjivih aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena sigurnosna rije\u0161enja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznom elektronskom po\u0161tom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>RustDoor macOS backdoor je novi zlonamjerni softver napisan u Rust programskom jeziku i \u010dini se da je povezan sa zlonamjernim akterima koji stoje iz Black Basta i Alphv\/BlackCat stoji u izvje\u0161taju sigurnosne kompanije Bitdefender.&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6156,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[637,142,768,638,144,767,268],"class_list":["post-6153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-alphv","tag-backdoor","tag-black-basta","tag-blackcat","tag-macos","tag-rustdoor","tag-visual-studio"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6153"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6153\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6156"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}