Llicències per a diversos dispositius (descomptes per volum)
Threat Database Backdoors Programari maliciós RShell

Programari maliciós RShell

El Mezo el Backdoors
Traduir a:
Català

S'ha descobert que els ciberdelinqüents xinesos fan servir una versió armada d'una aplicació de missatgeria com a forma de desplegar una amenaça de porta posterior anomenada RShell. L'amenaça de la porta del darrere té versions per a sistemes Linux i macOS. Els detalls sobre les operacions d'atac i el programari maliciós RShell es van publicar en informes dels investigadors de seguretat. Segons ells, RShell forma part de l'arsenal amenaçador del grup APT (Advanced Persistent Threat) rastrejat com APT27 , LuckyMouse, IronTiger i Emissary Panda. Aquest grup de ciberdelinqüència en particular ha estat actiu durant més d'una dècada i es centra principalment en operacions de ciberespionatge.

Els pirates informàtics van utilitzar una versió troianitzada de l'aplicació de missatgeria Electron 'MìMì' ('mimi' - 秘秘 - 'secreta') que s'anuncia com a disponible per a plataformes Android, iOS, Windows i macOS. Els investigadors van descobrir una versió de Linux, que també oferia el programari maliciós RShell. Quan s'activa la versió corrupta de macOS MiMi, primer comprova si l'entorn coincideix amb els paràmetres necessaris: macOS (Darwin). Després, obtindrà una càrrega útil RShell del seu servidor d'ordres i control (C2, C&C), l'escriurà a la carpeta temporal, li concedirà permís d'execució i, finalment, l'executarà.

L'anàlisi de RShell ha revelat que és una amenaça de porta posterior equipada amb les característiques típiques associades a aquest tipus de programari maliciós. Les primeres mostres descobertes per TrendMicro són del juny de 2021. RShell es lliura en format Mach-O en sistemes macOS i ELF a plataformes Linux. Quan s'activa al dispositiu de la víctima, l'amenaça recopilarà informació del sistema diversa, com ara el nom de l'ordinador, l'adreça IP, el nom d'usuari, la versió, etc. Totes les dades recollides s'empaquetaran en un missatge JSON binari i es transmetran al servidor C2 de forma no xifrada. TCP. Els actors d'amenaça de l'APT poden indicar a RShell que executi ordres a l'intèrpret d'ordres, llegeixi fitxers, enumereu els fitxers i directoris del sistema de fitxers arrel, escrigui dades als fitxers especificats i molt més.

Tendència

Més vist

Carregant...