Kripto para sektöründe faaliyet gösteren birçok şirket, yeni keşfedilen bir Apple macOS arka kapısının hedefi konumunda. PasKapı.
RustDoor ilk olarak geçen hafta Bitdefender tarafından belgelendi ve dosya toplama ve yüklemenin yanı sıra virüslü makineler hakkında bilgi toplayabilen Rust tabanlı bir kötü amaçlı yazılım olarak tanımlandı. Kendisini bir Visual Studio güncellemesi gibi göstererek dağıtılır.
Önceki kanıtlar arka kapının en az üç farklı varyantını ortaya çıkarsa da, başlangıçtaki yayılma mekanizmasının kesinliği bilinmiyordu.
Bununla birlikte, Rumen siber güvenlik firması daha sonra The Hacker News’e kötü amaçlı yazılımın pompalı tüfek dağıtım kampanyasından ziyade hedefli bir saldırının parçası olarak kullanıldığını söyledi ve RustDoor’un indirilmesinden ve çalıştırılmasından sorumlu ek eserler bulduğunu belirtti.
Yönetici Bogdan Botezatu, “Bu ilk aşamadaki indiricilerden bazıları, iş teklifleri içeren PDF dosyaları olduklarını iddia ediyor, ancak gerçekte bunlar, kötü amaçlı yazılımı indirip çalıştıran ve aynı zamanda kendisini bir gizlilik sözleşmesi olarak ilan eden zararsız bir PDF dosyasını indirip açan komut dosyalarıdır.” Bitdefender’da tehdit araştırması ve raporlamanın yapıldığı belirtildi.
O zamandan bu yana, her biri bir iş teklifi olduğu iddia edilen, birinci aşama veri yükü görevi gören üç kötü amaçlı örnek daha gün ışığına çıktı. Bu ZIP arşivleri, önceki RustDoor ikili dosyalarından yaklaşık bir ay öncesine dayanıyor.
Saldırı zincirinin yeni bileşeni, yani arşiv dosyaları (“Jobinfo.app.zip” veya “Jobinfo.zip”), implantın turkishfurniture adlı bir web sitesinden alınmasından sorumlu olan temel bir kabuk komut dosyasını içerir.[.]Blog. Ayrıca dikkat dağıtmak amacıyla aynı sitede barındırılan zararsız bir tuzak PDF dosyasının (“job.pdf”) ön izlemesini yapmak üzere tasarlanmıştır.
Bitdefender ayrıca aktör kontrollü bir alan adı (“sarkerrentacars”) ile iletişim kuran dört yeni Golang tabanlı ikili dosya tespit ettiğini söyledi.[.]Amacı “macOS işletim sisteminin bir parçası olan system_profiler ve networksetup yardımcı programlarını kullanarak kurbanın makinesi ve ağ bağlantıları hakkında bilgi toplamaktır.”
Ek olarak, ikili dosyalar “diskutil list” aracılığıyla disk hakkındaki ayrıntıları çıkarma ve “sysctl -a” komutunu kullanarak geniş bir çekirdek parametreleri ve yapılandırma değerleri listesi alma yeteneğine sahiptir.
Komuta ve kontrol (C2) altyapısının daha yakından incelenmesi, virüslü ana bilgisayarın kaydedildiği zaman damgaları da dahil olmak üzere, halihazırda virüslü kurbanlar hakkında ayrıntıların toplanmasını mümkün kılan sızdıran bir uç noktayı (“/client/bots”) ortaya çıkardı. ve son aktivite gözlemlendi.
Bu gelişme, Güney Kore Ulusal İstihbarat Servisi’nin (NIS), Kuzey Kore İşçi Partisi’nin 39 Nolu Ofisi’ne bağlı bir BT kuruluşunun, hassas verileri çalmak amacıyla kötü amaçlı yazılım içeren binlerce kumar web sitesini diğer siber suçlulara satarak yasa dışı gelir elde ettiğini ortaya çıkarmasıyla ortaya çıktı. şüphelenmeyen kumarbazlardan.
Hizmet olarak kötü amaçlı yazılım (MaaS) planının arkasındaki şirket, Dandong merkezli 15 üyeli bir kuruluş olan Gyeongheung’dur (aynı zamanda Gyonghung’dur), tek bir web sitesi oluşturma karşılığında kimliği belirsiz bir Güney Koreli suç örgütünden 5.000 dolar aldığı iddia edilmektedir. Yonha Haber Ajansı’nın bildirdiğine göre, web sitesinin bakımı için ayda 3.000 dolar harcandı.