Trojan.MAC.RustDoor arka kapısı potansiyel olarak kötü şöhretli BlackBasta ve (ALPHV/BlackCat) fidye yazılımı operatörleriyle bağlantılıdır.
Bitdefender araştırmacıları macOS cihazlarını hedef alan yeni bir arka kapı keşfettiler. Trojan.MAC.RustDoor olarak adlandırılan arka kapı, Rust dilinde yazılmıştır ve belirli dosyaları çalabilir, arşivleyebilir ve C2 (komuta ve kontrol) sunucusuna yükleyebilir.
Araştırmacılara göre arka kapı Kasım 2023’ten bu yana aktif. Bitdefender, kampanyayı bilinen bir tehdit aktörüne atfedememiş olsa da, eserler ve risk göstergeleri (IoC’ler), BlackBasta ve ALPHV/BlackCat fidye yazılımı operatörleriyle olası bir ilişki olduğunu gösteriyor.
Arka kapı, Intel x86_64 ve ARM mimarileri için Mach-O dosyalarıyla birlikte FAT ikili dosyaları olarak dağıtılan bir Visual Studio güncellemesinin kimliğine bürünüyor. Bitdefender tarafından tanımlanan örneklerin başlıkları şöyleydi:
- zshrc2
- Önizleyiciler
- VisualStudio Güncelleyici
- VisualStudioGüncelleniyor
- görsel stüdyo güncellemesi
- VisualStudioUpdater_Patch
- DO_NOT_RUN_ChromeGüncellemeleri
İlk örnekler Kasım 2023’te, en yenisi ise 2 Şubat 2024’te bulundu. Rust tabanlı kaynak kodu, güvenlik araştırmacılarının kötü amaçlı kodu analiz etmesini ve tespit etmesini zorlaştırarak kötü amaçlı yazılım yazarlarına potansiyel olarak avantaj sağlıyor.
Arka kapının Varyant 1, Varyant 2 ve Varyant Sıfır olarak adlandırılan birden fazla çeşidi vardır ve çoğu örnek temel işlevleri paylaşır. Varyant 1, ilk kez 22 Kasım 2023’te görülen bir test sürümüdür ve yerleşik bir plist dosyası içerir. LaunchAgents kullanılarak kalıcılığın sağlanması amaçlanmaktadır ancak bu yöntem için bir alan içermemektedir.
30 Kasım 2023’te bulunan ikinci varyant, kötü amaçlı yazılımın yükseltilmiş bir sürümü olup, karmaşık bir JSON yapılandırması ve veri sızdırmaya yönelik yerleşik bir Apple komut dosyası içerir. Komut dosyası, Belgeler ve Masaüstü klasörlerinden belirli uzantılara ve boyutlara sahip belgelerin yanı sıra SQLite formatında saklanan kullanıcı notlarını dışarı çıkarmak için kullanılır.
2 Şubat 2024’te keşfedilen Variant Zero, arka kapı işlevselliğine rağmen Apple komut dosyası ve yerleşik yapılandırmadan yoksun olan en az karmaşık varyanttır.
Tüm örnekler, ps, kabuk, cd, mkdir, rm, rmdir, uyku, yükleme, botkill, iletişim kutusu, görev kill ve indirme gibi desteklenen komutlarla arka kapı işlevselliğini içerir. Bu komutlar, kötü amaçlı yazılımın dosyaları toplayıp yüklemesine ve makine hakkında bilgi toplamasına olanak tanır.
Ek olarak, sysctl komutuyla çıkarılan bilgiler ve diğer iki komutun (pwd ve ana bilgisayar adı) çıktısı, bir Mağdur Kimliği almak üzere C&C sunucusunun Kayıt uç noktasına gönderilir.
Bitdefender’ın blog yazısına göre C2 sunucularıyla iletişim, POST /gateway/register, POST /gateway/report, /gateway/task ve /tasks/upload_file gibi uç noktalar kullanılarak gerçekleştiriliyor. C2 sunucuları şu anda “ayrıntı” ile yanıt veriyor: “Bulunamadı.”
Trojan.MAC.RustDoor, lock_in_cron, lock_in_launch, lock_in_dock ve lock_in_rc dahil olmak üzere birden fazla kalıcılık mekanizması kullanan bir kötü amaçlı yazılım ailesidir. Bu yöntemler son dönemdeki kötü amaçlı yazılım ailelerinde yaygındır ancak o kadar popüler değildir. Lock_in_cron cronjobs kullanımını içerirken lock_in_launch, kullanıcı her oturum açtığında ikili dosyayı yürütmek için LaunchAgents’ı kullanır.
Lock_in_rc, her yeni ZSH oturumu açıldığında ikili dosyayı çalıştıracak şekilde ~/.zshrc dosyasını değiştirerek elde edilir. Lock_in_dock, defaults write com.apple.dock persistan-apps -array-add komutunu kullanarak ikili dosyanın Dock’a eklenmesiyle elde edilir.
Bu devam eden bir araştırmadır. Hackread.com, bu operasyonun arkasındaki olası tehdit aktörleriyle ilgili yeni ayrıntılar paylaşıldığında okuyucuları bilgilendirecek.
İLGİLİ MAKALELER
- Bluetooth Kusuru macOS ve iOS’ta Tuş Vuruşu Enjeksiyonunu Etkinleştiriyor
- Yeni JaskaGO Kötü Amaçlı Yazılımı Kripto ve Tarayıcı Verileri için Mac’i Hedefliyor
- Lazarus Group, kripto hırsızlığı için KandyKorn macOS kötü amaçlı yazılımını kullanıyor
- Yeni Truva Atı Proxy Kötü Amaçlı Yazılımıyla Bağlantılı Kırık macOS Yazılımı
- Yeni Kötü Amaçlı Yazılım, Windows ve macOS Cihazlarını Proxy Düğümlerine Dönüştürüyor