Backdoor RustDoor atakuje systemy macOS
Badacze odkryli nowego backdoora dla systemu macOS zakodowanego w języku Rust, co sugeruje powiązania z rodzinami ransomware Black Basta i Alphv/BlackCat. Szkodnik o nazwie RustDoor udaje Visual Studio, obsługujący zarówno architekturę Intel, jak i Arm, i jest w obiegu od listopada 2023 r., skutecznie unikając wykrycia przez około trzy miesiące. Zidentyfikowano wiele wariantów RustDoora, z których wszystkie mają tę samą funkcjonalność backdoora, z niewielkimi różnicami.
Te przeanalizowane próbki RustDoor wykazują zdolność do wykonywania różnych poleceń w celu przechwytywania i eksfiltracji plików, a także zbierania informacji o zainfekowanym systemie. Zebrane dane są następnie przesyłane do serwera dowodzenia i kontroli (C&C), generując identyfikator ofiary na potrzeby późniejszej komunikacji.
Początki rdzy sięgają końca 2023 r
Początkowy wariant wykryty w listopadzie 2023 r. wydawał się być wersją testową pozbawioną pełnego mechanizmu trwałości i zawierającą „testowy” plik plist. Drugi wariant, zaobserwowany pod koniec listopada, miał większe pliki, skomplikowaną konfigurację JSON i skrypt Apple przeznaczony do wydobywania określonych dokumentów z folderów Dokumenty i Pulpit, w tym notatek użytkownika. Ten wariant polegał na ukrywaniu skopiowanych dokumentów w ukrytym folderze i kompresowaniu ich do archiwum ZIP przed wysłaniem na serwer C&C.
Badacze odkryli, że plik konfiguracyjny RustDoor zawiera opcje naśladowania różnych aplikacji, umożliwiając dostosowanie symulowanego okna dialogowego hasła administratora. Niektóre konfiguracje określają dane do gromadzenia, takie jak maksymalny rozmiar i liczba plików, docelowe rozszerzenia i katalogi lub katalogi do wykluczenia.
Konfiguracja JSON odwołuje się również do czterech mechanizmów trwałości: używanie cronjobs, wykorzystywanie LaunchAgents do wykonywania przy logowaniu, modyfikowanie pliku do wykonania po otwarciu nowej sesji ZSH i dodanie pliku binarnego do doku.
Ponadto zidentyfikowano trzeci wariant, który badacze uważają za oryginalny, zaobserwowany po raz pierwszy 2 listopada. Wariant ten jest mniej złożony, brakuje mu skryptu Apple i wbudowanej konfiguracji, które można znaleźć w późniejszych wersjach.