Bitdefenderは2月9日(現地時間)、「New MacOS Backdoor Written in Rust Shows Possible Link with Windows Ransomware Group」において、プログラミング言語「Rust」で書かれた新しいmacOS向けのバックドア型マルウェア「RustDoor」を発見したと伝えた。調査は継続中だがセキュリティ侵害インジケーター(IoC: Indicator of Compromise)をコミュニティと共有するために発表したとしている。
RustDoor
Bitdefenderによると、新しいバックドア型マルウェア「RustDoor」はMicrosoft Visual Studioの更新を偽装しているという。2023年11月から2024年2月2日までに発見されたすべてのファイルがIntelとARMアーキテクチャ用のMach-Oファイルを含むFATバイナリとして配布されており、どのファイルも親(アプリケーションバンドル、ディスクイメージ)を持っていないとされる。
発見されたマルウェアには同一の主要機能を持つ複数の亜種が存在するという。いずれもRustで記述されており、情報窃取およびバックドアとしての機能を持つ。このマルウェアは実行されるとsysctlコマンドを使用してシステム情報を収集し、攻撃者のコマンド&コントロール(C2: Command and Control)サーバに送信する。
その応答として「Victim ID」を受け取り、以後の通信で侵害したシステムの識別子として使用する。また、複数の永続化機能を持っており、一般的なマルウェアの永続化手法(cronジョブ、LaunchAgents)に加え、ZSHの設定ファイル(.zshrc)およびバイナリーをドックに追加する手法を使用する。
これまでのところ、このマルウェアによる攻撃が特定の攻撃者によるものかはわかっていない。しかしながら、Windowsを標的とするランサムウェアグループ「BlackBasta」および「ALPHV/BlackCat」との関連が指摘されている。これまでに使用が確認されたC2サーバ4台のうち3台がこれらランサムウェアキャンペーンに関与していたという。
セキュリティ侵害インジケーター(IoC)
Bitdefenderは検出と防御に必要な情報をコミュニティと共有するため、これまでの調査の過程で判明したセキュリティ侵害インジケーター(IoC)と悪意のあるファイル名の一部を公開している。セキュリティ専門家や企業、macOSの利用者は必要に応じてこれら情報を活用することが望まれている。