„RustDoor Backdoor“ skirtas „macOS“ sistemoms
Tyrėjai atrado naujas „MacOS“ užpakalines duris, užkoduotas „Rust“, siūlančias ryšius su išpirkos reikalaujančių programų šeimomis „Black Basta“ ir „Alhv“ / „BlackCat“. Kenkėjiška programa, pavadinta „RustDoor“, apsimeta „Visual Studio“, palaikanti „Intel“ ir „Arm“ architektūras, ir yra cirkuliuojama nuo 2023 m. lapkričio mėn., sėkmingai išvengdama aptikimo maždaug tris mėnesius. Buvo nustatyti keli „RustDoor“ variantai, visi turi tą patį galinių durų funkcionalumą su nedideliais skirtumais.
Šie analizuoti RustDoor pavyzdžiai rodo galimybę vykdyti įvairias komandas, skirtas rinkti ir išfiltruoti failus, taip pat rinkti informaciją apie užkrėstą sistemą. Tada surinkti duomenys perduodami į komandų ir valdymo (C&C) serverį, sugeneruojant aukos ID tolesniam ryšiui.
Rūdžių atsiradimo data siekia 2023 m. pabaigą
Atrodė, kad pradinis variantas, aptiktas 2023 m. lapkritį, buvo bandomoji versija, neturinti visiško patvarumo mechanizmo ir turinčio „bandomąjį“ plist failą. Antrasis variantas, pastebėtas lapkričio pabaigoje, turėjo didesnius failus, sudėtingą JSON konfigūraciją ir „Apple“ scenarijų, skirtą konkretiems dokumentams išgauti iš aplankų „Dokumentai“ ir „Desktop“, įskaitant vartotojo pastabas. Šis variantas nukopijuotus dokumentus paslėpė paslėptame aplanke, suglaudindamas juos į ZIP archyvą prieš siunčiant į C&C serverį.
Tyrėjai nustatė, kad „RustDoor“ konfigūracijos faile yra įvairių programų mėgdžiojimo parinkčių, suteikiančių pasirinkimų, kaip pritaikyti modeliuojamą administratoriaus slaptažodžio dialogą. Kai kurios konfigūracijos nurodo rinktinus duomenis, pvz., maksimalų failų dydį ir skaičių, tikslinius plėtinius ir katalogus arba katalogus, kuriuos reikia išskirti.
JSON konfigūracija taip pat nurodo keturis išlikimo mechanizmus: cronjobs, LaunchAgents panaudojimą vykdymui prisijungus, failo modifikavimą, kad jis būtų vykdomas atidarius naują ZSH seansą, ir dvejetainio failo įtraukimas į doką.
Be to, buvo nustatytas trečiasis variantas, kuris, tyrėjų nuomone, yra originalus, pirmą kartą pastebėtas lapkričio 2 d. Šis variantas yra ne toks sudėtingas, jame trūksta Apple scenarijaus ir įterptosios konfigūracijos, rastos vėlesnėse versijose.
