RustDoor-Hintertür

Eine neu entdeckte, in Rust codierte macOS-Hintertür wurde mit den bekannten Ransomware-Gruppen Black Basta und Alphv/BlackCat in Verbindung gebracht. Die Malware mit dem Namen RustDoor gibt vor, dass Visual Studio sowohl Intel- als auch Arm-Architekturen unterstützt. Sie ist seit November 2023 im Umlauf und konnte sich mehrere Monate lang der Entdeckung entziehen.

Forscher haben verschiedene Versionen von RustDoor identifiziert, die mit geringfügigen Unterschieden alle die gleiche Backdoor-Funktionalität aufweisen. Diese Varianten unterstützen alle eine Reihe von Befehlen zum Sammeln und Exfiltrieren von Dateien sowie zum Sammeln von Informationen über das infizierte Gerät. Die gesammelten Daten werden dann an einen Command-and-Control-Server (C&C) übertragen, wo eine Opfer-ID generiert und in der nachfolgenden Kommunikation verwendet wird.

Die RustDoor-Hintertür hat ihre unsicheren Fähigkeiten weiterentwickelt

Die erste Version der RustDoor-Backdoor, die im November 2023 entdeckt wurde, scheint als Testversion fungiert zu haben. Es fehlte ein umfassender Persistenzmechanismus und es gab eine „Test“-Plist-Datei.

Die zweite Variante, die vermutlich einen Monat später aufgetaucht war, hatte größere Dateien und enthielt eine ausgefeilte JSON-Konfiguration und ein Apple-Skript, das zum Herausfiltern bestimmter Dokumente aus den Ordnern „Dokumente“ und „Desktop“ sowie aus den Notizen des Benutzers konzipiert war.

Nachdem sich die Malware auf kompromittierten Systemen etabliert hat, kopiert sie gezielt Dokumente und Daten in einen versteckten Ordner, komprimiert sie in einem ZIP-Archiv und überträgt sie dann an den Command-and-Control (C&C)-Server. Einige Konfigurationen geben Anweisungen zur Datenerfassung an, z. B. die maximale Größe und Anzahl der Dateien, Listen der Zielerweiterungen und -verzeichnisse oder auszuschließende Verzeichnisse. Die Forscher fanden außerdem heraus, dass die Konfigurationsdatei von RustDoor den Identitätswechsel verschiedener Anwendungen ermöglicht und Optionen zum Anpassen eines gefälschten Administratorkennwortdialogs bietet.

Die JSON-Konfiguration verweist auf vier Persistenzmechanismen: die Verwendung von Cronjobs und LaunchAgents (was zur Ausführung bei der Anmeldung führt), das Ändern einer Datei, um die Ausführung beim Öffnen einer neuen ZSH-Sitzung sicherzustellen, und das Hinzufügen der Binärdatei zum Dock.

Es wurde eine dritte Backdoor-Variante entdeckt, bei der es sich offenbar um die Originalvariante handelt. Es fehlen die Komplexität, das Apple-Skript und die eingebettete Konfiguration, die in anderen RustDoor-Varianten vorhanden sind.

Die Malware nutzt drei C&C-Server, die zuvor mit den Ransomware-Kampagnen Black Basta und Alphv/BlackCat verknüpft waren. BlackCat, die erste dateiverschlüsselnde Ransomware in der Programmiersprache Rust, erschien 2021 und wurde im Dezember 2023 demontiert.

Backdoor-Malware-Angriffe können schwerwiegende Folgen für die Opfer haben

Das Vorhandensein von Backdoor-Malware auf den Geräten der Benutzer stellt erhebliche und vielfältige Gefahren dar, da sie böswilligen Akteuren unbefugten Zugriff gewährt. Hier sind einige potenzielle Gefahren, die mit der Infektion der Benutzergeräte mit Backdoor-Malware verbunden sind:

• Unbefugter Zugriff und Kontrolle : Hintertüren bieten Angreifern einen geheimen Einstiegspunkt, der es ihnen ermöglicht, sich unbefugten Zugriff auf das infizierte Gerät zu verschaffen. Sobald sie sich im Inneren befinden, können sie ohne Wissen oder Zustimmung des Benutzers die Kontrolle über verschiedene Funktionen übernehmen, Dateien manipulieren und Befehle ausführen.
• Datendiebstahl und -exfiltration : Hintertüren ermöglichen oft den Diebstahl und die Exfiltration sensibler Daten, die auf dem kompromittierten Gerät gespeichert sind. Angreifer können auf persönliche Informationen, Finanzdaten, Anmeldeinformationen und andere vertrauliche Daten zugreifen, was zu potenziellem Identitätsdiebstahl, finanziellen Verlusten oder Datenschutzverletzungen führen kann.
• Spionage und Überwachung : Backdoor-Malware wird häufig mit Spionageaktivitäten in Verbindung gebracht. Angreifer können die Hintertür nutzen, um Benutzer auszuspionieren, ihre Aktivitäten zu überwachen, Screenshots zu machen, Tastenanschläge aufzuzeichnen und sogar auf Webcams oder Mikrofone zuzugreifen und so die Privatsphäre der Benutzer zu gefährden.
• Ransomware-Bereitstellung : Hintertüren werden manchmal als Einfallstor für die Bereitstellung von Ransomware verwendet. Sobald Angreifer über eine Hintertür Zugriff erhalten, können sie die Dateien des Benutzers verschlüsseln und ein Lösegeld für deren Freigabe verlangen, was zu erheblichen Störungen und finanziellen Verlusten führt.
• Systemmanipulation und -störung : Hintertüren können es Angreifern ermöglichen, Systemeinstellungen zu manipulieren, den normalen Betrieb zu stören oder sogar Sicherheitsmaßnahmen zu deaktivieren. Dies kann letztendlich zu Systeminstabilität und Abstürzen führen und es für Benutzer schwierig machen, ihre Geräte effektiv zu nutzen.
• Ausbreitung und Netzwerkausbreitung : Einige Hintertüren verfügen über Selbstreplikationsfunktionen, die es ihnen ermöglichen, sich über Netzwerke zu verbreiten und andere Geräte zu infizieren. Dies kann zur Kompromittierung ganzer Netzwerke führen und mehrere Benutzer und Organisationen betreffen.
• Kompromittierte Netzwerksicherheit : Hintertüren können verwendet werden, um Netzwerksicherheitsmaßnahmen zu umgehen, wodurch es für Angreifer einfacher wird, in größere Unternehmensnetzwerke einzudringen. Dies kann zu weiteren Sicherheitsverletzungen führen und die Integrität sensibler Unternehmens- oder Regierungsinformationen gefährden.

Um diese Risiken zu mindern, ist es für Benutzer von entscheidender Bedeutung, robuste Cybersicherheitsmaßnahmen zu ergreifen, einschließlich regelmäßiger Software-Updates, der Verwendung seriöser Antivirenprogramme und der Ausübung sicherer Online-Verhaltensweisen, um nicht Opfer von Backdoor-Malware-Angriffen zu werden. Darüber hinaus sollten Unternehmen starke Netzwerksicherheitsprotokolle implementieren, um potenzielle Bedrohungen umgehend zu erkennen und zu bekämpfen.