خانه » بکدور RustDoor، دستگاه‌های macOS اپل را مورد هدف قرار داد

بکدور RustDoor، دستگاه‌های macOS اپل را مورد هدف قرار داد

توسط Vulnerbyte
88 بازدید
بکدور RustDoor

محققان شرکت بیت دیفندر یک بکدور جدید را کشف کرده‌اند که کاربران سیستم عامل مک را مورد هدف قرار می‌دهد. این خانواده بدافزار جدید به زبان Rust نوشته شده است و دارای چند ویژگی جالب می‌باشد. این بدافزار که توسط بیت دیفندر بکدور RustDoor نامیده می‌شود، جعل به‌ روزرسانی برای Microsoft Visual Studio است و معماری‌های Intel و Arm را مورد هدف قرار می‌دهد.

مسیر دسترسی اولیه مورد استفاده برای تکثیر ایمپلنت در حال حاضر دقیقا مشخص نیست، اما به نظر می‌رسد که این بکدور، جعل یک به روز رسانی ویژوال استودیو است و همه فایل‌های شناسایی شده مستقیماً به صورت باینری FAT با فایل‌های Mach-O برای معماری‌های x86_64 Intel و ARM توزیع می‌شوند. برخی از نمونه‌های شناسایی شده به نام‌های زیر هستند:

zshrc2

Previewers

VisualStudioUpdater

VisualStudioUpdater_Patch

VisualStudioUpdating

visualstudioupdate

DO_NOT_RUN_ChromeUpdates

انواع مختلفی از این بکدور با تغییرات جزئی تا به امروز شناسایی شده است که احتمالاً نشان دهنده توسعه فعال آن می‌باشد. اولین نمونه بکدور RustDoor به دوم نوامبر ۲۰۲۳ باز می‌گردد. کد منبع فایل ها در Rust نوشته شده است و تجزیه و تحلیل باینری‌ها و نام فایل‌های منبع اصلی را نشان می‌دهد. تحلیل Rust نسبت به سایر زبان‌های رایج‌تر مانند C یا Python متفاوت است و تحلیل و شناسایی کدهای مخرب را برای محققان امنیتی دشوارتر می‌سازد. این ویژگی می‌تواند به نویسندگان بدافزار، مزیتی در دور زدن مکانیزم شناسایی و تشخیص ارائه دهد.

فایل‌های منبع نوع ۱:

این نوع که برای اولین بار در بیست دوم نوامبر ۲۰۲۳ مشاهده شد، به نظر می‌رسد یک نسخه آزمایشی باشد و همانطور که در فایل plist تعبیه شده نشان داده شده است از یک نوشته عمومی که مکانیزم تداوم دسترسی و تکنیک‌های خروج از سندباکس را برای macOS توضیح می‌دهد، کپی پیست شده است. سرنخ احتمالی دیگر نام فایل plist (test.plist) می‌باشد.

اگرچه این فهرست تعبیه شده برای اطمینان از تداوم دسترسی با استفاده از LaunchAgents است، اما پیکربندی شامل فیلدی برای این روش تداوم دسترسی (فقط برای پایداری با استفاده از cronjobs یا درج برنامه در نوار Dock ) نیست (همانطور که در نوع دوم مشاهده می‌شود).

فایل‌های منبع نوع ۲:

همه نمونه‌هایی که ما آنالیز کردیم شامل عملکرد بکدور، با لیستی از دستورات پشتیبانی شده زیر است:

ps

shell

cd

mkdir

rm

rmdir

sleep

upload

botkill

dialog

taskkill

download

فایل‌های متعلق به نسخه دوم برای اولین بار در سی‌اُم نوامبر ۲۰۲۳ مشاهده شدند و کمی بزرگتر از نمونه‌های خود در نسخه یک هستند و در حدود ۴ تا ۵ مگابایت می‌باشند. به نظر می‌رسد این نسخه، نسخه ارتقا یافته بدافزاری است که اکنون شامل یک پیکربندی پیچیده JSON و همچنین یک اسکریپت تعبیه ‌شده اپل است که برای استخراج استفاده می‌شود.

اسکریپت تعبیه شده اپل

ما انواع مختلفی از اسکریپت تعبیه شده اپل را شناسایی کردیم، اما همه آنها برای استخراج داده ها طراحی شده‌اند. این اسکریپت برای استخراج اسناد با پسوندها و اندازه‌های خاص از پوشه‌های Documents و Desktop و همچنین یادداشت‌های کاربر که در قالب SQLITE در مکان زیر ذخیره می‌شوند استفاده می‌شود:  Users/<user>/Library/Group Containers/group. com.apple.notes/NoteStore.sqlite

چندین رشته حاوی پسوندهای هدفمند از جمله txt، rtf، doc، xls، xlsx، png، pdf، pem، asc، ppk، rdp، zip، sql، ovpn، kdbx، conf، key، json در داخل باینری‌ها شناسایی شدند. پس از اینکه همه فایل ها در پوشه مخفی مقصد کپی شدند، در یک آرشیو ZIP  (که <username>_home.zip دارد) فشرده شده و به سرور C2 ارسال می‌شوند.

بکدور RustDoor دارای طیف گسترده‌ای از دستورات است که به آن امکان می‌دهد فایل ها را جمع آوری و آپلود کند و اطلاعات مربوط به endpoint  هک شده را جمع آوری نماید. برخی نسخه‌ها همچنین شامل پیکربندی‌هایی با جزئیات در مورد اینکه چه داده‌هایی باید جمع‌آوری شود، فهرست افزونه‌ها و فهرست‌های هدفمند، و فهرست‌هایی که باید حذف شوند، می‌باشند. اطلاعات استخراج شده سپس به یک سرور فرمان و کنترل (C2) ارسال می شود.

این بدافزار احتمالاً به دلیل همپوشانی در زیرساخت های C2 با خانواده های باج افزار برجسته مانند Black Basta و BlackCat مرتبط می‌باشد. ALPHV/BlackCat نیز یک خانواده باج‌افزار است (همچنین به زبان Rust نوشته شده است)، که اولین بار در نوامبر ۲۰۲۱ ظاهر شد و در مدل کسب‌وکار افشای عمومی پیشگام بود.

دولت ایالات متحده در دسامبر ۲۰۲۳، اعلام کرد که عملیات باج افزار BlackCat را متوقف ساخته و یک ابزار رمزگشایی منتشر کرده است که بیش از ۵۰۰ قربانی آسیب دیده می‌توانند از آن برای دسترسی مجدد به فایل‌های قفل شده توسط بدافزار استفاده کنند.

IoC:

باینری‌ها:

6dd3a3e4951d34446fe1a5c7cdf39754 (VisualStudioUpdater_Patch)

90a517c3dab8ceccf5f1a4c0f4932b1f (VisualStudioUpdater_Patch)

b67bba781e5cf006bd170a0850a9f2d0 (VisualStudioUpdating)

f5774aca722e0624daf67a2da5ec6967 (VisualStudioUpdater_Patch)

52a9d67745f153465fac434546007d3a (Previewers)

30b27b765878385161ca1ee71726a5c6 (DO_NOT_RUN_ChromeUpdates)

1dbc26447c1eaa9076e65285c92f7859 (visualstudioupdate)

05a8583f36599b5bc93fa3c349e89434 (VisualStudioUpdater)

5d0c62da036bbe375cb10659de1929e3 (VisualStudioUpdater)

68e0facbf541a2c014301346682ef9ca (VisualStudioUpdater)

b2bdd1d32983c35b3b1520d83d89d197 (zshrc2)

5fcc12eaba8185f9d0ddecafae8fd2d1 (zshrc2)

97cd4fc94c59121f903f2081df1c9981

28bdd46d8609512f95f1f1b93c79d277

3e23308d074d8bd4ffdb5e21e3aa8f22

088779125434ad77f846731af2ed6781

b67f6e534d5cca654813bd9e94a125b9

cf54cba05efee9e389e090b3fd63f89b

44fcf7253bcf0102811e50a4810c4e41

690a097b0eea384b02e013c1c0410189

186be45570f13f94b8de82c98eaa8f4f

3c780bcfb37a1dfae5b29a9e7784cbf5

925239817d59672f61b8332f690c6dd6

9c6b7f388abec945120d95d892314ea7

85cd1afbc026ffdfe4cd3eec038c3185

6aaba581bcef3ac97ea98ece724b9092

bcbbf7a5f7ccff1932922ae73f6c65b7

bde0e001229884404529773b68bb3da0

795f0c68528519ea292f3eb1bd8c632e

bc394c859fc379900f5648441b33e5fd

0fe0212fc5dc82bd7b9a8b5d5b338d22

835ebf367e769eeaaef78ac5743a47ca

bdd4972e570e069471a4721d76bb5efb

دامنه‌های دانلود

URLهای C&C

maconlineoffice.com

193.29.13.167

88.214.26.22

https://serviceicloud.com

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید