Malware RShell

Bylo odhaleno, že čínští kyberzločinci používají zbrojní verzi aplikace messenger jako způsob, jak rozmístit backdoor hrozbu s názvem RShell. Hrozba backdoor má verze pro systémy Linux a macOS. Podrobnosti o útočných operacích a malwaru RShell byly zveřejněny ve zprávách bezpečnostních výzkumníků. Podle nich je RShell součástí hrozivého arzenálu skupiny APT (Advanced Persistent Threat) sledovaného jako APT27 , LuckyMouse, IronTiger a Emissary Panda. Tato konkrétní skupina zabývající se kyberzločinem je aktivní již více než deset let a zaměřuje se především na operace kybernetické špionáže.

Hackeři použili trojanizovanou verzi aplikace 'MìMì' ('mimi' - 秘秘 – 'tajná') aplikace pro zasílání zpráv Electron, která je inzerována jako dostupná pro platformy Android, iOS, Windows a macOS. Výzkumníci odhalili verzi pro Linux, která také přináší malware RShell. Při aktivaci poškozené verze macOS MiMi nejprve zkontroluje, zda prostředí odpovídá potřebným parametrům – macOS (Darwin). Poté načte obsah RShell ze svého serveru Command-and-Control (C2, C&C), zapíše jej do dočasné složky, udělí mu oprávnění ke spuštění a nakonec jej spustí.

Analýza RShell odhalila, že jde o backdoor hrozbu vybavenou typickými funkcemi spojenými s tímto typem malwaru. Nejstarší vzorky objevené TrendMicro jsou z června 2021. RShell je dodáván ve formátu Mach-O na systémech macOS a ELF na platformách Linux. Po aktivaci na zařízení oběti bude hrozba shromažďovat různé systémové informace, včetně názvu počítače, IP adresy, uživatelského jména, verze atd. Všechna získaná data budou zabalena do binární zprávy JSON a přenesena na server C2 v nešifrované podobě přes TCP. Aktéři hrozeb APT mohou instruovat RShell, aby spouštěl příkazy v shellu, četl soubory, vypisoval soubory a adresáře v kořenovém souborovém systému, zapisoval data do určených souborů a další.