RShell Malware

Kinesiske cyberkriminelle er blevet afsløret for at bruge en bevæbnet version af en messenger-applikation som en måde at implementere en bagdørstrussel ved navn RShell. Bagdørstruslen har versioner til Linux- og macOS-systemer. Detaljer om angrebsoperationerne og RShell-malwaren blev frigivet i rapporter fra sikkerhedsforskere. Ifølge dem er RShell en del af det truende arsenal af APT (Advanced Persistent Threat)-gruppen sporet som APT27 , LuckyMouse, IronTiger og Emissary Panda. Denne særlige cyberkriminalitetsgruppe har været aktiv i over et årti og er primært fokuseret på cyberspionageoperationer.

Hackerne brugte en trojaniseret version af 'MìMì' ('mimi' - 秘秘 – 'hemmelig') Electron messaging-applikation, der annonceres som tilgængelig til Android, iOS, Windows og macOS platforme. Forskerne afslørede en Linux-version, der også leverede RShell-malwaren. Når den beskadigede macOS MiMi-version er aktiveret, tjekker den først, om miljøet matcher de nødvendige parametre - macOS (Darwin). Bagefter vil den hente en RShell-nyttelast fra dens Command-and-Control (C2, C&C) server, skrive den til den midlertidige mappe, give den udførelsestilladelse og til sidst udføre den.

Analyse af RShell har afsløret, at det er en bagdørstrussel udstyret med de typiske funktioner forbundet med denne malwaretype. De tidligste prøver opdaget af TrendMicro er fra juni 2021. RShell leveres i Mach-O-formatet på macOS-systemer og ELF på Linux-platforme. Når den aktiveres på offerets enhed, vil truslen indsamle forskellige systemoplysninger, herunder computernavn, IP-adresse, brugernavn, version osv. Alle indsamlede data vil blive pakket ind i en binær JSON-meddelelse og transmitteret til C2-serveren i en ukrypteret form over TCP. APT-trusselsaktører kan instruere RShell til at udføre kommandoer i shell, læse filer, liste filerne og mapperne i rodfilsystemet, skrive data til specificerede filer og mere.