在最近的一次披露中,网络安全公司比特夫人发现了Macos恶意软件Rustdoor,该恶意软件正在通过恶意视觉工作室更新进行传播,并作为折衷系统的后门。
该活动自2023年11月以来一直在运营,一直在Rustdoor在Rust开发的恶意软件(trojan.mac.rustdoor)的恶意软件(trojan.mac.rustdoor)的迭代中进行,Rustdoor证明了与基于Intel的(X86_64)和基于Intel的兼容性(X86_64)和ARM ARM(Apple Apple(Apple Apple)硅胶。
Bitdefender的研究人员透露,Rustdoor恶意软件与四个指挥和控制(C2)服务器建立通信,尤其是,这些服务器中的三个显示了与该服务器的潜在链接Alphv/Blackcat勒索软件帮派,根据威胁情报数据,根据BleepingComputer。但是,研究人员谨慎对待确定归因,强调与Blackbasta和Alphv/BlackCat勒索操作员的潜在关联的指示。
找到了多个变体
尽管存在MACOS Encryptors,但仍未公开报道勒索软件针对苹果的操作系统,尤其是在2022年12月之前的M1构建中。网络操作主要集中在Windows和Linux系统中,因为它们在企业环境中的普遍性。网络犯罪分子之间的共同基础设施受匿名性的限制,强调了各种威胁参与者的服务器的共同点。
SecurityWeek报告了Bitdefender的调查揭示了多种变体Rustdoor,所有人都具有较小的区别。
最初的变体在2023年11月发现,是作为缺乏完整持久机制的测试版本,并包含“测试”列表文件。第二个变体在当月晚些时候观察到,具有较大的文件,复杂的JSON配置以及用于从用户文件夹中提取特定文档的Apple脚本。 Rustdoor将文档复制到邮政编码档案中,然后再将其传输到C&C服务器。
Bitdefender的发现揭示了Rustdoor的配置文件选项,包括模拟各种应用程序并自定义欺骗的管理员密码对话框的能力。 JSON配置概述了四种持久机制:cronjobs,用于登录执行的启动器,ZSH会话启动的文件修改以及对码头的二进制添加。
第三个变体(被识别为原始)缺乏复杂性,Apple脚本和嵌入式配置。 Rustdoor采用了以前与Black Basta和Alphv/BlackCat勒索软件活动相关的C&C服务器,这表明与这些网络威胁的潜在连接。
恶意软件后门容量
正如他们最近的发现中所强调的那样,研究人员解释说,Rustdoor具有功能性,从而可以操纵受损的系统,数据提取以及通过更改系统文件在设备上建立持久性。
在渗透系统后,恶意软件通过指定的端点与命令和控制服务器建立通信,以进行注册,任务执行和数据删除等活动。为了确保通过系统重启的持续操作,后门雇用CRON作业和发射器,在特定时间或用户登录时安排其执行。
尽管MAC通常受益于内置安全功能,例如看门人和沙箱,但它们并不是恶意软件的不透手。为了加强MAC安全性,建议用户使用防病毒软件,激活MAC防火墙和确保安全应用程序下载通过看门人,使用。
