RustDoor バックドア

新たに発見された、Rust でコーディングされた macOS バックドアは、有名なランサムウェア グループBlack Bastaおよび Alphv/BlackCat にリンクされています。 RustDoor と名付けられたこのマルウェアは、Visual Studio が Intel と Arm の両方のアーキテクチャをサポートしているかのように装い、2023 年 11 月から出回っており、数か月間検出を回避しています。

研究者らは、わずかな違いはあるものの、すべて同じバックドア機能を共有するさまざまなバージョンの RustDoor を特定しました。これらの亜種はすべて、ファイルの収集と抽出、および感染したデバイスに関する情報の収集のためのさまざまなコマンドをサポートしています。収集されたデータはコマンド アンド コントロール (C&C) サーバーに送信され、そこで被害者 ID が生成され、その後の通信で利用されます。

RustDoor バックドアは安全でない機能を進化させている

2023 年 11 月に検出された RustDoor バックドアの初期バージョンは、テスト リリースとして機能していたようです。これには包括的な永続化メカニズムが欠けており、「テスト」plist ファイルが特徴でした。

2 番目の亜種は 1 か月後に出現したと考えられており、より大きなファイルを持ち、洗練された JSON 構成と、ドキュメント フォルダーとデスクトップ フォルダーおよびユーザーのメモから特定のドキュメントを抽出するために設計された Apple スクリプトが含まれていました。

このマルウェアは、侵害されたシステムに自身を確立すると、標的のドキュメントとデータを隠しフォルダーにコピーし、ZIP アーカイブに圧縮して、コマンド アンド コントロール (C&C) サーバーに送信します。一部の構成では、ファイルの最大サイズと数、対象の拡張子とディレクトリのリスト、除外するディレクトリなどのデータ収集手順を指定します。研究者らはまた、RustDoor の設定ファイルでは、偽装された管理者パスワード ダイアログをカスタマイズするオプションを使用して、さまざまなアプリケーションの偽装が可能であることも発見しました。

JSON 構成は、cronjob、LaunchAgents (ログイン時に実行される)、新しい ZSH セッションを開いたときに確実に実行されるようにファイルを変更すること、Dock にバイナリを追加することの 4 つの永続化メカニズムを参照します。

3 番目のバックドアの亜種が発見され、それがオリジナルのものと思われます。他の RustDoor 亜種に存在する複雑さ、Apple スクリプト、埋め込み設定がありません。

このマルウェアは、以前に Black Basta および Alphv/BlackCat ランサムウェア キャンペーンにリンクされていた 3 つの C&C サーバーを利用します。 Rust プログラミング言語による初のファイル暗号化ランサムウェアである BlackCat は 2021 年に出現し、2023 年 12 月に解体されました。

バックドアマルウェア攻撃は被害者に重大な影響を与える可能性がある

ユーザーのデバイスにバックドア マルウェアが存在すると、悪意のある攻撃者に不正アクセスが許可されるため、重大かつさまざまな危険が生じます。ユーザーのデバイスがバックドア マルウェアに感染することに関連する潜在的な危険をいくつか示します。

• 不正なアクセスと制御: バックドアは攻撃者に秘密のエントリ ポイントを提供し、感染したデバイスへの不正アクセスを可能にします。侵入すると、ユーザーの認識や同意なしに、さまざまな機能を制御したり、ファイルを操作したり、コマンドを実行したりすることができます。
• データの盗難と流出: バックドアにより、侵害されたデバイスに保存されている機密データの盗難や流出が可能になることがよくあります。攻撃者は個人情報、財務データ、ログイン資格情報、その他の機密データにアクセスする可能性があり、個人情報の盗難、経済的損失、またはプライバシー侵害につながる可能性があります。
• スパイ活動と監視: バックドア マルウェアは一般にスパイ活動に関連付けられています。攻撃者はバックドアを使用してユーザーをスパイし、ユーザーのアクティビティを監視し、スクリーンショットをキャプチャし、キーストロークを記録し、さらには Web カメラやマイクにアクセスして、ユーザーのプライバシーを侵害する可能性があります。
• ランサムウェアの展開: バックドアは、ランサムウェアを展開するためのゲートウェイとして使用されることがあります。攻撃者がバックドア経由でアクセスを取得すると、ユーザーのファイルを暗号化し、ファイルを解放するために身代金を要求し、重大な混乱と経済的損失を引き起こす可能性があります。
• システムの操作と中断: バックドアにより、攻撃者はシステム設定を操作したり、通常の操作を中断したり、セキュリティ対策を無効にしたりすることができます。これにより、最終的にシステムが不安定になったり、クラッシュが発生したりする可能性があり、ユーザーがデバイスを効果的に使用することが困難になります。
• 伝播とネットワーク拡散: 一部のバックドアは自己複製機能を備えており、ネットワーク全体に拡散して他のデバイスに感染することができます。これにより、ネットワーク全体が侵害され、複数のユーザーや組織に影響が及ぶ可能性があります。
• ネットワーク セキュリティの侵害: バックドアを使用してネットワーク セキュリティ対策をバイパスすることができ、攻撃者がより広範な組織ネットワークに侵入することが容易になります。これにより、さらなるセキュリティ侵害が発生し、企業や政府の機密情報の整合性が損なわれる可能性があります。

これらのリスクを軽減するには、ユーザーが定期的なソフトウェアの更新、信頼できるウイルス対策プログラムの使用、バックドア マルウェア攻撃の被害者にならないように安全なオンライン行動を実践するなど、堅牢なサイバーセキュリティ対策を採用することが重要です。さらに、組織は潜在的な脅威を迅速に検出して対処するために、強力なネットワーク セキュリティ プロトコルを実装する必要があります。