Поделиться
Пользователей macOS атакует бэкдор - родственник знаменитых шифровальщиков
Bitdefender обнаружил написанный на языке Rust бэкдор, который используется в целевых атаках на пользователей компьютеров Apple. По-видимому, это инструмент целевых атак.
Процессор не играет роли
Новый бэкдор атакует пользователей устройств под управлением операционной системы Apple macOS. Вредонос RustDoor, как его обозначили специалисты фирмы Bitdefender, написан на языке Rust и с одинаковым успехом функционирует в системах на базе процессоров Intel или ARM.
Эксперты Bitdefender указывают, что с ноября 2023 г., когда этот вредонос был впервые замечен, появилось множество его вариаций с минимальными изменениями.
Это указывает на то, что идёт активная доработка бэкдора.
Точный первоначальный путь доступа, используемый для распространения импланта, в настоящее время неизвестен. Есть сведения, что он распространяется в виде двоичных файлов FAT, содержащих файлы Mach-O.
Бэкдор обладает довольно широкой функциональностью: он способен собирать и выгружать на внешние ресурсы целые файлы и информацию о скомпрометированном эндпойнте. Некоторые версии снабжены специальными настройками для типов данных, которые будут выводиться, в частности, какие файлы в каких каталогах выгружать и какие не трогать.
Собранная информация отправляется непосредственно на управляющий сервер.
Ближайший родственник
По мнению экспертов Bitdefender, RustDoor является «близким родственником» шифровальщиков Black Basta и BlackCat; они тоже написаны на Rust, вдобавок RustDoor использует часть инфраструктуры, прежде связанной с этими шифровальщиками.
В декабре 2023 г. власти США объявили о полном разгроме BlackCat, что подразумевало захват основных элементов инфраструктуры шифровальщика. Тогда же был выпущен бесплатный дешифровщик, с помощью которых 500 жертв BlackCat смогли вернуть доступ к своим данным.
«Как известно из древних мифов, когда Гидре срубали одну голову, если сразу не прижечь, на том же месте быстро отрастали три новые головы», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, BlackCat разгромили, но, видимо, у операторов осталось немало ресурсов, чтобы запустить новую операцию. «Bitdefender можно и нужно поздравить: они довольно быстро выявили всю эту деятельность. Увы, это не значит, что хакеры быстро её свернут - или будут вынуждены это сделать», - подытожила Анастасия Мельникова.
В Bitdefender позднее сообщили изданию Bleeping Computer, что им удалось перехватить два загрузчика первой стадии - чего изначально они сделать не смогли. Оказалось, что часть из них - это PDF-файлы, выдаваемые за предложения о работе, но в реальности содержащие скрипты, загружающие и запускающие бэкдор (PDF-файл тоже присутствует, но это уже не предложение о работе, а некое соглашение о конфиденциальности).
Эксперты Bitdefender пришли к выводу, что RustDoor, скорее всего, является инструментом узконаправленных целевых атак, а не случайного поиска жертв.
Короткая ссылка
