RShell البرامج الضارة

تم الكشف عن مجرمي الإنترنت الصينيين لاستخدام نسخة مسلحة من تطبيق المراسلة كوسيلة لنشر تهديد خلفي يسمى RShell. التهديد الخلفي له إصدارات لأنظمة Linux و macOS. تم نشر تفاصيل حول عمليات الهجوم والبرامج الضارة RShell في تقارير من قبل باحثين أمنيين. ووفقًا لهم ، فإن RShell جزء من الترسانة المهددة لمجموعة APT (Advanced Persistent Threat) التي تم تعقبها مثل APT27 و LuckyMouse و IronTiger و Emissary Panda. كانت هذه المجموعة الخاصة بالجرائم الإلكترونية نشطة لأكثر من عقد وتركز بشكل أساسي على عمليات التجسس الإلكتروني.

استخدم المتسللون نسخة طروادة من تطبيق المراسلة الإلكترونية "MìMì" ("mimi" - 秘 秘 - "السري") الذي تم الإعلان عنه على أنه متاح لأنظمة Android و iOS و Windows و macOS. كشف الباحثون النقاب عن نسخة لينكس ، تقدم أيضًا برنامج RShell الخبيث. عند تنشيط إصدار macOS MiMi التالف ، فإنه يتحقق أولاً مما إذا كانت البيئة تطابق المعلمات الضرورية - macOS (داروين). بعد ذلك ، سيقوم بجلب حمولة RShell من خادم الأوامر والتحكم (C2 ، C&C) الخاص به ، وكتابته إلى المجلد المؤقت ، ومنحه إذن التنفيذ ، ثم تنفيذه في النهاية.

كشف تحليل RShell أن هناك تهديدًا مستترًا مزودًا بالميزات النموذجية المرتبطة بهذا النوع من البرامج الضارة. أقدم العينات التي اكتشفها TrendMicro هي من يونيو 2021. يتم تسليم RShell بتنسيق Mach-O على أنظمة macOS و ELF على أنظمة Linux الأساسية. عند تنشيطه على جهاز الضحية ، سيقوم التهديد بجمع معلومات النظام المختلفة ، بما في ذلك اسم الكمبيوتر وعنوان IP واسم المستخدم والإصدار وما إلى ذلك. سيتم تعبئة جميع البيانات التي تم حصادها في رسالة JSON ثنائية وإرسالها إلى خادم C2 في شكل غير مشفر عبر TCP. يمكن لممثلي تهديد APT توجيه تعليمات لـ RShell لتنفيذ الأوامر في shell وقراءة الملفات وإدراج الملفات والأدلة في نظام الملفات الجذر وكتابة البيانات إلى ملفات محددة والمزيد.