Бэкдор RustDoor нацелен на системы macOS
Исследователи обнаружили новый бэкдор для macOS, написанный на Rust, что позволяет предположить связь с семействами программ-вымогателей Black Basta и Alphv/BlackCat. Вредоносная программа под названием RustDoor выдает себя за Visual Studio, поддерживает архитектуру Intel и Arm и находится в обращении с ноября 2023 года, успешно уклоняясь от обнаружения в течение примерно трех месяцев. Было обнаружено несколько вариантов RustDoor, все из которых имеют одинаковую функциональность бэкдора с небольшими различиями.
Проанализированные образцы RustDoor демонстрируют способность выполнять различные команды для сбора и эксфильтрации файлов, а также сбора информации о зараженной системе. Собранные данные затем передаются на сервер управления и контроля (C&C), генерирующий идентификатор жертвы для последующей связи.
Rust появился в конце 2023 года
Первоначальный вариант, обнаруженный в ноябре 2023 года, по-видимому, представлял собой тестовую версию, в которой отсутствовал полный механизм сохранения и содержал «тестовый» файл plist. Второй вариант, наблюдавшийся в конце ноября, имел файлы большего размера, сложную конфигурацию JSON и скрипт Apple, предназначенный для извлечения определенных документов из папок «Документы» и «Рабочий стол», включая заметки пользователя. Этот вариант скрывал скопированные документы в скрытой папке, сжимая их в ZIP-архив перед отправкой на командный сервер.
Исследователи обнаружили, что файл конфигурации RustDoor включает параметры для имитации различных приложений, предоставляя возможность настройки имитированного диалогового окна с паролем администратора. В некоторых конфигурациях указываются данные для сбора, например максимальный размер и количество файлов, целевые расширения и каталоги или каталоги, которые необходимо исключить.
Конфигурация JSON также ссылается на четыре механизма сохранения: использование cronjobs, использование LaunchAgents для выполнения при входе в систему, изменение файла для выполнения при открытии нового сеанса ZSH и добавление двоичного файла в док.
Кроме того, был идентифицирован третий вариант, который исследователи считают оригинальным, впервые наблюдавшимся 2 ноября. Этот вариант менее сложен, в нем отсутствует скрипт Apple и встроенная конфигурация, которые есть в более поздних версиях.