macOS Backdoor RustDoor muhtemelen Alphv/BlackCat fidye yazılımı operasyonuyla bağlantılı

0
macOS Backdoor RustDoor muhtemelen Alphv/BlackCat fidye yazılımı operasyonuyla bağlantılı

macOS Backdoor RustDoor muhtemelen Alphv/BlackCat fidye yazılımı operasyonuyla bağlantılı

Pierluigi Paganini
10 Şubat 2024

Bitdefender araştırmacıları, RustDoor adı verilen yeni bir macOS arka kapısını Black Basta ve Alphav/BlackCat fidye yazılımı operasyonlarına bağladı.

Bitdefender araştırmacıları, Black Basta ve Alphav/BlackCat fidye yazılımı operasyonlarıyla bağlantılı olduğu anlaşılan RustDoor adlı yeni bir macOS arka kapısı keşfettiler.

RustDoor, Rust'ta yazılmıştır ve birçok özelliği destekler. Kötü amaçlı yazılım, bir Visual Studio güncellemesinin kimliğine bürünüyor ve Intel ve Arm mimarilerini destekleyecek şekilde tasarlandı.

Kötü amaçlı yazılım en az Kasım 2023'ten beri aktif ancak ilk kez 2 Şubat'ta tespit edildiİkinci kısaltma 2024.

Araştırmacılar birkaç RustDoor çeşidi belirlediler ve örneklerin çoğu, küçük farklılıklarla aynı temel işlevselliği paylaşıyor. Uzmanlar bu değişkenleri 1, 2 ve 0 alternatifleri halinde gruplandırdı.

Tüm varyantlar, operatörlerin dosya toplamasına ve yüklemesine ve cihaz hakkında bilgi toplamasına olanak tanıyan komutları destekler.

Kasım 2023'te keşfedilen arka kapının ilk varyantının, kararlılık mekanizmasını desteklemeyen bir beta sürümü olması muhtemel. Araştırmacılar, arka kapının “test” adı verilen bir plist dosyası içerdiğini kaydetti.

İkinci varyant Kasım ayının sonunda tespit edildi ve karmaşık bir JSON konfigürasyonunun yanı sıra filtreleme için kullanılan yerleşik bir Apple betiğine sahipti.

“Apple'ın yerleşik komut dosyasının birden fazla çeşidini belirledik, ancak bunların tümü veri çıkarmaya yönelik.” okuyor rapor Bitdefender tarafından yayınlanmıştır. “Komut dosyası, Belgeler ve Masaüstü klasörlerinden belirtilen uzantı ve boyutlara sahip belgelerin yanı sıra SQLITE formatında saklanan kullanıcı notlarını çıkarmak için kullanılır”

Paslı
Kızartma

Yapılandırma dosyaları, kimliğe bürünme uygulamalarının bir listesini içeriyordu ve arka kapı, bu hileyi ekran yönetici şifresi iletişim kutusunu yanıltmak için kullandı.

Bitdefender şöyle devam ediyor: “Bazı yapılandırmalar, maksimum boyut ve maksimum dosya sayısı, hedeflenecek uzantı ve dizin listeleri veya hariç tutulacak dizinler gibi hangi verilerin toplanacağına ilişkin özel talimatlar da içerir.”

İlk kez 02.11.2023 tarihinde tespit edilen “Variant Zero”, diğer varyantlara göre daha az karmaşık olup Apple'ın yerleşik komut dosyasını ve konfigürasyonunu içermiyor.

Eserlerin ve IoC'lerin analizi, BlackBasta ve (ALPHV/BlackCat) fidye yazılımı operasyonuyla olası bir bağlantıyı ortaya çıkardı.

“Özellikle, dört C&C sunucusundan üçü daha önce Windows müşterilerini hedef alan fidye yazılımı kampanyalarıyla bağlantılıydı. ALPHV/BlackCat, ilk olarak Kasım 2021'de ortaya çıkan ve sızıntı iş modeline öncülük eden bir fidye yazılımı ailesidir (yine Rust'ta yazılmıştır). Rapor sonuçlandırılıyor.

Beni Twitter'da takip edin: @güvenlikişleri Ve Facebook Ve Mastodon

Pierluigi Paganini

(Güvenlik işleri korsan, arka kapı)



Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir