Nieuwe RustDoor macOS-malware doet zich voor als Visual Studio-update

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.268
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

Nieuwe RustDoor macOS-malware doet zich voor als Visual Studio-update​

Door Bill Toulas
Publicatie van BleepingComputer


mystery-hacker.jpg



Een nieuwe op Rust gebaseerde macOS-malware, die zich verspreidt als een Visual Studio-update om backdoor-toegang te bieden
aan aangetaste systemen, maakt gebruik van infrastructuur, die is gekoppeld aan de beruchte ALPHV/BlackCat-ransomwarebende.

De campagne die de achterdeur levert, is op zijn minst sinds november 2023 gestart en is nog steeds bezig met het verspreiden
van nieuwere varianten van de malware.

De malware is geschreven in Rust en kan draaien op Intel-gebaseerde (x86_64) en ARM (Apple Silicon) architecturen, zeggen
onderzoekers van cyberbeveiligingsbedrijf Bitdefender, die het opsporen onder de naam RustDoor.

Mogelijke link naar ransomware-operaties​

Tijdens het analyseren van RustDoor ontdekten malwareonderzoekers bij Bitdefender dat de malware communiceerde met vier
commando- en controleservers (C2-servers).

Kijkend naar gegevens van bedreigingsinformatie ontdekten de analisten dat drie van deze servers waren gebruikt in aanvallen die
mogelijk waren gekoppeld aan ransomware-aanvallen van een aan ALPHV/BlackCat gelieerde onderneming.

De onderzoekers benadrukken echter dat dit onvoldoende bewijs is om het gebruik van RustDoor met zekerheid te koppelen aan een
bepaalde dreigingsactor en dat "artefacten en IoC's [indicators of compromise] wijzen op een mogelijke relatie met de BlackBasta- en
ALPHV/BlackCat-ransomware-exploitanten".

Nu cybercriminelen minder vrijheid hebben in het kiezen van hun infrastructuur en beperkt zijn tot hostingservices die anonimiteit
bieden en illegale activiteiten door de vingers zien, is het gebruikelijk dat meerdere bedreigingsactoren dezelfde servers gebruiken
voor aanvallen.

Hoewel er encryptors voor het macOS-systeem bestaan, builds voor Apple M1 van LockBit gemaakt voor december 2022, zijn er op dit
moment geen openbare meldingen van ransomware die Apple's besturingssysteem aanvalt.

De meeste operaties zijn gericht op Windows- en Linux-systemen, omdat in bedrijfsomgevingen servers met deze besturingssystemen
worden gebruikt.

Distributie details​

RustDoor wordt voornamelijk gedistribueerd als een updater voor Visual Studio for Mac, Microsofts geïntegreerde ontwikkelomgeving
(IDE) voor het macOS-platform, dat dit jaar op 31 augustus wordt stopgezet.

De macOS backdoor wordt geleverd onder meerdere namen, waaronder 'zshrc2,' 'Previewers,' 'VisualStudioUpdater,' '
VisualStudioUpdater_Patch,' 'VisualStudioUpdating,' 'visualstudioupdate,' en 'DO_NOT_RUN_ChromeUpdates'.

Volgens Bitdefender wordt de malware al minstens drie maanden actief verspreid en niet gedetecteerd.

De onderzoekers ontdekten drie versies van de malware, die worden geleverd als FAT-binaire bestanden, die Mach-O-bestanden
bevatten voor zowel x86_64 Intel- als ARM-architecturen, maar die niet zijn gebundeld in typische moederbestanden zoals
Application Bundles of Disk Image.

Bitdefender zegt dat deze atypische distributiemethode de digitale voetafdruk van de campagne vermindert en de kans verkleint dat
beveiligingsproducten de backdoor als verdacht markeren.

Backdoor mogelijkheden​

In een rapport van deze week zeggen de onderzoekers dat RustDoor commando's heeft om het gecompromitteerde systeem te
besturen
en gegevens te exfiltreren, en het kan op het apparaat blijven door systeembestanden te wijzigen.

Nadat een systeem is geïnfecteerd, communiceert de malware met commando- en controleservers (C2-servers) via specifieke
eindpunten voor registratie, het uitvoeren van taken en het exfiltreren van gegevens.

De commando's die door de malware worden ondersteund, zijn onder andere de volgende:
  • ps: Toont lopende processen, handig om systeemactiviteit te controleren.

  • shell: Voert willekeurige shellcommando's uit, waardoor aanvallers directe controle hebben.

  • cd: Verandert de huidige map, waardoor navigatie door het bestandssysteem mogelijk wordt.

  • mkdir: Maakt een nieuwe map aan, handig voor het organiseren van gestolen gegevens of
    malwarecomponenten.


  • rm: Verwijdert bestanden, mogelijk voor het verwijderen van belangrijke bestanden of het
    opruimen van sporen van de malware.


  • rmdir: Verwijdert mappen, vergelijkbaar met rm maar dan voor mappen.

  • sleep: Pauzeert de uitvoering gedurende een bepaalde tijd, mogelijk om detectie te omzeilen
    of acties te synchroniseren.


  • upload: Stuurt bestanden naar een externe server, gebruikt voor exfiltratie van gestolen gegevens.

  • botkill: Beëindigt andere malwareprocessen, mogelijk om concurrentie te elimineren of
    systeembronnen vrij te maken.


  • dialoogvenster: Geeft berichten of prompts weer aan de gebruiker, mogelijk voor phishing of om
    opdrachten met gebruikersrechten uit te voeren.


  • taskkill: Beëindigt gespecificeerde processen, handig voor het stoppen van beveiligingssoftware of
    andere processen die malware storen.


  • download: Haalt bestanden op van een externe server, gebruikt om extra malwarecomponenten of
    updates naar het geïnfecteerde systeem te brengen.
De achterdeur maakt gebruik van Cron jobs en LaunchAgents om zijn uitvoering te plannen op specifieke tijdstippen of wanneer
de gebruiker inlogt, waardoor hij systeemherstart overleeft.

Bovendien wijzigt het het bestand ~/.zshrc om het uit te voeren in nieuwe terminalsessies of om het toe te voegen aan het Dock
met systeemcommando's, waardoor het opgaat in legitieme applicaties en gebruikersactiviteiten.


code.png

Code om persistentie op het systeem te vestigen (Bitdefender)


Bitdefender merkt op dat er ten minste drie varianten van RustDoor zijn, waarvan de vroegste sinds begin oktober 2023 is gezien.

De volgende werd 22 november gezien en leek een testversie te zijn die voorafging aan een bijgewerkte versie die op 30 november
werd waargenomen en die "een complexe JSON-configuratie evenals een ingesloten Apple-script bevat dat wordt gebruikt voor
exfiltratie" van bestanden met specifieke extensies.

De onderzoekers geven een lijst met bekende compromitteringsindicatoren voor RustDoor, waaronder binaire bestanden,
downloaddomeinen en URL's voor de vier ontdekte commando- en controleservers.
 
Terug
Bovenaan Onderaan