RustDoor Trojan IOCs

remote access Trojan IOC
Опубликовано

Исследователи Bitdefender обнаружили новый бэкдор, нацеленный на пользователей Mac OS. Это ранее не документированное семейство вредоносных программ написано на языке Rust и включает в себя несколько интересных функций. Пока расследование продолжается, мы рассылаем это предупреждение, чтобы сообщить сообществу о признаках компрометации. Продукты Bitdefender идентифицируют эту угрозу как Trojan.MAC.RustDoor.*.

RustDoor

Бэкдор, похоже, выдает себя за обновление Visual Studio, а все идентифицированные файлы распространяются непосредственно как двоичные файлы FAT с Mach-O для архитектур x86_64 Intel и ARM. Ни один из файлов не имеет других родителей (пакетов приложений, образов дисков). Некоторые из идентифицированных образцов имеют следующие имена:

  • zshrc2
  • Previewers
  • VisualStudioUpdater
  • VisualStudioUpdater_Patch
  • VisualStudioUpdating
  • visualstudioupdate
  • DO_NOT_RUN_ChromeUpdates

Bitdefender смогли отследить первые образцы до начала ноября 2023 года. Самый свежий образец был обнаружен 2 февраля 2024 года, что говорит о том, что вредоносная программа работала незамеченной как минимум три месяца.

Этот бэкдор, похоже, имеет несколько вариантов. Хотя большинство образцов имеют одинаковый основной функционал (с незначительными вариациями), мы разделили их на варианты 1, 2 и Zero, как описано ниже.

Исходный код файлов написан на языке Rust, и анализ двоичных файлов показывает имена исходных файлов. Синтаксис и семантика Rust отличаются от синтаксиса и семантики более распространенных языков, таких как C или Python, что затрудняет исследователям безопасности анализ и обнаружение вредоносного кода. Это может дать авторам вредоносных программ преимущество в уклонении от обнаружения и анализа.

Indicators of Compromise

IPv4

  • 193.29.13.167
  • 88.214.26.22

Domains

  • maconlineoffice.com

URLs

  • http://linksammosupply.com/VisualStudioUpdater
  • http://linksammosupply.com/VisualStudioUpdaterLs2
  • http://linksammosupply.com/zshrc2
  • https://sarkerrentacars.com/zshrc
  • https://serviceicloud.com
  • https://turkishfurniture.blog/Previewers

MD5

  • 05a8583f36599b5bc93fa3c349e89434
  • 088779125434ad77f846731af2ed6781
  • 0fe0212fc5dc82bd7b9a8b5d5b338d22
  • 186be45570f13f94b8de82c98eaa8f4f
  • 1dbc26447c1eaa9076e65285c92f7859
  • 28bdd46d8609512f95f1f1b93c79d277
  • 30b27b765878385161ca1ee71726a5c6
  • 3c780bcfb37a1dfae5b29a9e7784cbf5
  • 3e23308d074d8bd4ffdb5e21e3aa8f22
  • 44fcf7253bcf0102811e50a4810c4e41
  • 52a9d67745f153465fac434546007d3a
  • 5d0c62da036bbe375cb10659de1929e3
  • 5fcc12eaba8185f9d0ddecafae8fd2d1
  • 68e0facbf541a2c014301346682ef9ca
  • 690a097b0eea384b02e013c1c0410189
  • 6aaba581bcef3ac97ea98ece724b9092
  • 6dd3a3e4951d34446fe1a5c7cdf39754
  • 795f0c68528519ea292f3eb1bd8c632e
  • 835ebf367e769eeaaef78ac5743a47ca
  • 85cd1afbc026ffdfe4cd3eec038c3185
  • 90a517c3dab8ceccf5f1a4c0f4932b1f
  • 925239817d59672f61b8332f690c6dd6
  • 97cd4fc94c59121f903f2081df1c9981
  • 9c6b7f388abec945120d95d892314ea7
  • b2bdd1d32983c35b3b1520d83d89d197
  • b67bba781e5cf006bd170a0850a9f2d0
  • b67f6e534d5cca654813bd9e94a125b9
  • bc394c859fc379900f5648441b33e5fd
  • bcbbf7a5f7ccff1932922ae73f6c65b7
  • bdd4972e570e069471a4721d76bb5efb
  • bde0e001229884404529773b68bb3da0
  • cf54cba05efee9e389e090b3fd63f89b
  • f5774aca722e0624daf67a2da5ec6967
Похожие записи:
  1. Glupteba Trojan IOCs
  2. Атаки Ransomware на критическую инфраструктуру финансируют вредоносную кибердеятельность КНДР
  3. JokerSpy Trojan IOCs
  4. Bvp47 Backdoor IOCs
  5. Daxin Backdoor IOC
Backdoor Bitdefender RustDoor trojan
Добавить комментарий