RustDoor バックドアは macOS システムをターゲットにします

研究者らは、ランサムウェア ファミリ Black Basta および Alphv/BlackCat との関連を示唆する、Rust でコーディングされた新しい macOS バックドアを発見しました。 RustDoor と名付けられたこのマルウェアは、Visual Studio を装い、Intel と Arm の両方のアーキテクチャをサポートしており、2023 年 11 月から流通しており、約 3 か月間検出を回避することに成功しています。 RustDoor には複数の亜種が確認されており、すべて同じバックドア機能を共有していますが、若干の違いがあります。

これらの分析された RustDoor サンプルは、感染したシステムに関する情報を収集するだけでなく、ファイルの収集と抽出のためのさまざまなコマンドを実行する機能を示しています。収集されたデータはコマンドアンドコントロール (C&C) サーバーに送信され、その後の通信のための被害者 ID が生成されます。

Rustの日付は2023年後半に遡る

2023 年 11 月に検出された最初の亜種は、完全な永続化メカニズムが欠如し、「テスト」plist ファイルを備えたテスト バージョンであるようでした。 11 月末に確認された 2 番目の亜種には、より大きなファイル、複雑な JSON 構成、およびドキュメント フォルダーとデスクトップ フォルダーからユーザー メモを含む特定のドキュメントを抽出するために設計された Apple スクリプトが含まれていました。この亜種は、コピーされたドキュメントを隠しフォルダーに隠し、C&C サーバーに送信する前に ZIP アーカイブに圧縮します。

研究者は、RustDoor 設定ファイルにはさまざまなアプリケーションを模倣するためのオプションが含まれており、シミュレートされた管理者パスワード ダイアログをカスタマイズする選択肢を提供していることを発見しました。一部の構成では、ファイルの最大サイズと数、対象の拡張子とディレクトリ、除外するディレクトリなど、収集するデータを指定します。

JSON 構成は、4 つの永続化メカニズムも参照します。cronjob の使用、ログイン時の実行のための LaunchAgents の使用、新しい ZSH セッションが開かれたときに実行するファイルの変更、Dock へのバイナリの追加です。

さらに、3 番目の亜種が特定されており、研究者らは 11 月 2 日に初めて観察されたオリジナルのものであると考えています。この亜種はそれほど複雑ではなく、後のバージョンに見られる Apple スクリプトと埋め込み設定が欠けています。