محققان شرکت بیت دیفندر یک بکدور جدید را کشف کردهاند که کاربران سیستم عامل مک را مورد هدف قرار میدهد. این خانواده بدافزار جدید به زبان Rust نوشته شده است و دارای چند ویژگی جالب میباشد. این بدافزار که توسط بیت دیفندر بکدور RustDoor نامیده میشود، جعل به روزرسانی برای Microsoft Visual Studio است و معماریهای Intel و Arm را مورد هدف قرار میدهد.
مسیر دسترسی اولیه مورد استفاده برای تکثیر ایمپلنت در حال حاضر دقیقا مشخص نیست، اما به نظر میرسد که این بکدور، جعل یک به روز رسانی ویژوال استودیو است و همه فایلهای شناسایی شده مستقیماً به صورت باینری FAT با فایلهای Mach-O برای معماریهای x86_64 Intel و ARM توزیع میشوند. برخی از نمونههای شناسایی شده به نامهای زیر هستند:
zshrc2
Previewers
VisualStudioUpdater
VisualStudioUpdater_Patch
VisualStudioUpdating
visualstudioupdate
DO_NOT_RUN_ChromeUpdates
انواع مختلفی از این بکدور با تغییرات جزئی تا به امروز شناسایی شده است که احتمالاً نشان دهنده توسعه فعال آن میباشد. اولین نمونه بکدور RustDoor به دوم نوامبر ۲۰۲۳ باز میگردد. کد منبع فایل ها در Rust نوشته شده است و تجزیه و تحلیل باینریها و نام فایلهای منبع اصلی را نشان میدهد. تحلیل Rust نسبت به سایر زبانهای رایجتر مانند C یا Python متفاوت است و تحلیل و شناسایی کدهای مخرب را برای محققان امنیتی دشوارتر میسازد. این ویژگی میتواند به نویسندگان بدافزار، مزیتی در دور زدن مکانیزم شناسایی و تشخیص ارائه دهد.
فایلهای منبع نوع ۱:
این نوع که برای اولین بار در بیست دوم نوامبر ۲۰۲۳ مشاهده شد، به نظر میرسد یک نسخه آزمایشی باشد و همانطور که در فایل plist تعبیه شده نشان داده شده است از یک نوشته عمومی که مکانیزم تداوم دسترسی و تکنیکهای خروج از سندباکس را برای macOS توضیح میدهد، کپی پیست شده است. سرنخ احتمالی دیگر نام فایل plist (test.plist) میباشد.
اگرچه این فهرست تعبیه شده برای اطمینان از تداوم دسترسی با استفاده از LaunchAgents است، اما پیکربندی شامل فیلدی برای این روش تداوم دسترسی (فقط برای پایداری با استفاده از cronjobs یا درج برنامه در نوار Dock ) نیست (همانطور که در نوع دوم مشاهده میشود).
فایلهای منبع نوع ۲:
همه نمونههایی که ما آنالیز کردیم شامل عملکرد بکدور، با لیستی از دستورات پشتیبانی شده زیر است:
ps
shell
cd
mkdir
rm
rmdir
sleep
upload
botkill
dialog
taskkill
download
فایلهای متعلق به نسخه دوم برای اولین بار در سیاُم نوامبر ۲۰۲۳ مشاهده شدند و کمی بزرگتر از نمونههای خود در نسخه یک هستند و در حدود ۴ تا ۵ مگابایت میباشند. به نظر میرسد این نسخه، نسخه ارتقا یافته بدافزاری است که اکنون شامل یک پیکربندی پیچیده JSON و همچنین یک اسکریپت تعبیه شده اپل است که برای استخراج استفاده میشود.
اسکریپت تعبیه شده اپل
ما انواع مختلفی از اسکریپت تعبیه شده اپل را شناسایی کردیم، اما همه آنها برای استخراج داده ها طراحی شدهاند. این اسکریپت برای استخراج اسناد با پسوندها و اندازههای خاص از پوشههای Documents و Desktop و همچنین یادداشتهای کاربر که در قالب SQLITE در مکان زیر ذخیره میشوند استفاده میشود: Users/<user>/Library/Group Containers/group. com.apple.notes/NoteStore.sqlite
چندین رشته حاوی پسوندهای هدفمند از جمله txt، rtf، doc، xls، xlsx، png، pdf، pem، asc، ppk، rdp، zip، sql، ovpn، kdbx، conf، key، json در داخل باینریها شناسایی شدند. پس از اینکه همه فایل ها در پوشه مخفی مقصد کپی شدند، در یک آرشیو ZIP (که <username>_home.zip دارد) فشرده شده و به سرور C2 ارسال میشوند.
بکدور RustDoor دارای طیف گستردهای از دستورات است که به آن امکان میدهد فایل ها را جمع آوری و آپلود کند و اطلاعات مربوط به endpoint هک شده را جمع آوری نماید. برخی نسخهها همچنین شامل پیکربندیهایی با جزئیات در مورد اینکه چه دادههایی باید جمعآوری شود، فهرست افزونهها و فهرستهای هدفمند، و فهرستهایی که باید حذف شوند، میباشند. اطلاعات استخراج شده سپس به یک سرور فرمان و کنترل (C2) ارسال می شود.
این بدافزار احتمالاً به دلیل همپوشانی در زیرساخت های C2 با خانواده های باج افزار برجسته مانند Black Basta و BlackCat مرتبط میباشد. ALPHV/BlackCat نیز یک خانواده باجافزار است (همچنین به زبان Rust نوشته شده است)، که اولین بار در نوامبر ۲۰۲۱ ظاهر شد و در مدل کسبوکار افشای عمومی پیشگام بود.
دولت ایالات متحده در دسامبر ۲۰۲۳، اعلام کرد که عملیات باج افزار BlackCat را متوقف ساخته و یک ابزار رمزگشایی منتشر کرده است که بیش از ۵۰۰ قربانی آسیب دیده میتوانند از آن برای دسترسی مجدد به فایلهای قفل شده توسط بدافزار استفاده کنند.
IoC:
باینریها:
6dd3a3e4951d34446fe1a5c7cdf39754 (VisualStudioUpdater_Patch)
90a517c3dab8ceccf5f1a4c0f4932b1f (VisualStudioUpdater_Patch)
b67bba781e5cf006bd170a0850a9f2d0 (VisualStudioUpdating)
f5774aca722e0624daf67a2da5ec6967 (VisualStudioUpdater_Patch)
52a9d67745f153465fac434546007d3a (Previewers)
30b27b765878385161ca1ee71726a5c6 (DO_NOT_RUN_ChromeUpdates)
1dbc26447c1eaa9076e65285c92f7859 (visualstudioupdate)
05a8583f36599b5bc93fa3c349e89434 (VisualStudioUpdater)
5d0c62da036bbe375cb10659de1929e3 (VisualStudioUpdater)
68e0facbf541a2c014301346682ef9ca (VisualStudioUpdater)
b2bdd1d32983c35b3b1520d83d89d197 (zshrc2)
5fcc12eaba8185f9d0ddecafae8fd2d1 (zshrc2)
97cd4fc94c59121f903f2081df1c9981
28bdd46d8609512f95f1f1b93c79d277
3e23308d074d8bd4ffdb5e21e3aa8f22
088779125434ad77f846731af2ed6781
b67f6e534d5cca654813bd9e94a125b9
cf54cba05efee9e389e090b3fd63f89b
44fcf7253bcf0102811e50a4810c4e41
690a097b0eea384b02e013c1c0410189
186be45570f13f94b8de82c98eaa8f4f
3c780bcfb37a1dfae5b29a9e7784cbf5
925239817d59672f61b8332f690c6dd6
9c6b7f388abec945120d95d892314ea7
85cd1afbc026ffdfe4cd3eec038c3185
6aaba581bcef3ac97ea98ece724b9092
bcbbf7a5f7ccff1932922ae73f6c65b7
bde0e001229884404529773b68bb3da0
795f0c68528519ea292f3eb1bd8c632e
bc394c859fc379900f5648441b33e5fd
0fe0212fc5dc82bd7b9a8b5d5b338d22
835ebf367e769eeaaef78ac5743a47ca
bdd4972e570e069471a4721d76bb5efb
