Kripto para sektöründe faaliyet gösteren çok sayıda şirket, RustDoor kod adlı yeni keşfedilen bir Apple macOS arka kapısını içeren, devam eden bir kötü amaçlı yazılım kampanyasının hedefi.
RustDoor ilk olarak geçen hafta Bitdefender tarafından belgelendi ve dosya toplama ve yüklemenin yanı sıra virüslü makineler hakkında bilgi toplayabilen Rust tabanlı bir kötü amaçlı yazılım olarak tanımlandı. Kendisini bir Visual Studio güncellemesi gibi göstererek dağıtılır.
Önceki kanıtlar arka kapının en az üç farklı varyantını ortaya çıkarsa da, başlangıçtaki yayılma mekanizmasının kesinliği bilinmiyordu.
Bununla birlikte, Rumen siber güvenlik firması daha sonra The Hacker News’e kötü amaçlı yazılımın pompalı tüfek dağıtım kampanyasından ziyade hedefli bir saldırının parçası olarak kullanıldığını söyledi ve RustDoor’un indirilmesinden ve çalıştırılmasından sorumlu ek eserler bulduğunu belirtti.
Yönetici Bogdan Botezatu, “Bu ilk aşamadaki indiricilerden bazıları, iş teklifleri içeren PDF dosyaları olduklarını iddia ediyor, ancak gerçekte bunlar, kötü amaçlı yazılımı indirip çalıştıran ve aynı zamanda kendisini bir gizlilik sözleşmesi olarak ilan eden zararsız bir PDF dosyasını indirip açan komut dosyalarıdır.” Bitdefender’da tehdit araştırması ve raporlamanın yapıldığı belirtildi.
O zamandan bu yana, her biri bir iş teklifi olduğu iddia edilen, birinci aşama veri yükü görevi gören üç kötü amaçlı örnek daha gün ışığına çıktı. Bu ZIP arşivleri, önceki RustDoor ikili dosyalarından yaklaşık bir ay öncesine dayanıyor.
Saldırı zincirinin yeni bileşeni, yani arşiv dosyaları (“Jobinfo.app.zip” veya “Jobinfo.zip”), implantın turkishfurniture adlı bir web sitesinden alınmasından sorumlu olan temel bir kabuk komut dosyasını içerir.[.]Blog. Ayrıca dikkat dağıtmak amacıyla aynı sitede barındırılan zararsız bir tuzak PDF dosyasının (“job.pdf”) ön izlemesini yapmak üzere tasarlanmıştır.
Bitdefender söz konusu ayrıca aktör tarafından kontrol edilen bir alan adı (“sarkerrentacars”) ile iletişim kuran dört yeni Golang tabanlı ikili dosya tespit etti[.]Amacı “macOS işletim sisteminin bir parçası olan system_profiler ve networksetup yardımcı programlarını kullanarak kurbanın makinesi ve ağ bağlantıları hakkında bilgi toplamaktır.”
Ek olarak, ikili dosyalar “diskutil list” aracılığıyla disk hakkındaki ayrıntıları çıkarma ve “sysctl -a” komutunu kullanarak geniş bir çekirdek parametreleri ve yapılandırma değerleri listesi alma yeteneğine sahiptir.
Komuta ve kontrol (C2) altyapısının daha yakından incelenmesi, virüslü ana bilgisayarın kaydedildiği zaman damgaları da dahil olmak üzere, halihazırda virüslü kurbanlar hakkında ayrıntıların toplanmasını mümkün kılan sızdıran bir uç noktayı (“/client/bots”) ortaya çıkardı. ve son aktivite gözlemlendi.
Botezatu, “Şu ana kadar en az üç mağdur şirketin olduğunu biliyoruz” dedi. “Saldırganlar üst düzey mühendislik personelini hedef alıyor gibi görünüyor ve bu, kötü amaçlı yazılımın neden bir Visual Studio güncellemesi olarak gizlendiğini açıklıyor. Bu noktada tehlikeye giren başka şirketlerin olup olmadığını bilmiyoruz, ancak bunu hâlâ araştırıyoruz.”
“Kurbanların gerçekten coğrafi olarak bağlantılı olduğu görülüyor; kurbanlardan ikisi Hong Kong’da, diğeri ise Lagos, Nijerya’da.”
Gelişme, Güney Kore Ulusal İstihbarat Servisi’nin (NIS) açıklığa kavuşmuş Kuzey Kore İşçi Partisi’nin 39 No’lu Ofisine bağlı bir BT kuruluşunun yasadışı gelir elde ettiği satış binlerce kötü amaçlı yazılım içeren kumar web sitesini, şüphelenmeyen kumarbazlardan hassas verileri çalmak için diğer siber suçlulara devretti.
Hizmet olarak kötü amaçlı yazılım (MaaS) planının arkasındaki şirket, Dandong merkezli 15 üyeli bir kuruluş olan Gyeongheung’dur (aynı zamanda Gyonghung’dur), tek bir web sitesi oluşturma karşılığında kimliği belirsiz bir Güney Koreli suç örgütünden 5.000 dolar aldığı iddia edilmektedir. ve web sitesinin bakımı için ayda 3.000 dolar, Yonha Haber Ajansı rapor edildi.
