Κακόβουλο λογισμικό RSShell

Κινέζοι εγκληματίες του κυβερνοχώρου αποκαλύφθηκαν ότι χρησιμοποιούν μια οπλισμένη έκδοση μιας εφαρμογής messenger ως τρόπο για να αναπτύξουν μια κερκόπορτα απειλή που ονομάζεται RShell. Η απειλή backdoor έχει εκδόσεις για συστήματα Linux και macOS. Λεπτομέρειες σχετικά με τις επιχειρήσεις επίθεσης και το κακόβουλο λογισμικό RShell κυκλοφόρησαν σε αναφορές από ερευνητές ασφαλείας. Σύμφωνα με αυτούς, η RShell αποτελεί μέρος του απειλητικού οπλοστασίου της ομάδας APT (Advanced Persistent Threat) που παρακολουθείται ως APT27 , LuckyMouse, IronTiger και Emissary Panda. Η συγκεκριμένη ομάδα εγκληματικότητας στον κυβερνοχώρο δραστηριοποιείται για πάνω από μια δεκαετία και επικεντρώνεται κυρίως σε επιχειρήσεις κυβερνοκατασκοπείας.

Οι χάκερ χρησιμοποίησαν μια τρωανοποιημένη έκδοση της εφαρμογής ανταλλαγής μηνυμάτων «MìMì» («mimi» - 秘秘 – «μυστικό») που διαφημίζεται ως διαθέσιμη για πλατφόρμες Android, iOS, Windows και macOS. Οι ερευνητές αποκάλυψαν μια έκδοση Linux, η οποία παρείχε επίσης το κακόβουλο λογισμικό RShell. Όταν ενεργοποιείται η κατεστραμμένη έκδοση macOS MiMi, ελέγχει πρώτα εάν το περιβάλλον ταιριάζει με τις απαραίτητες παραμέτρους - macOS (Darwin). Στη συνέχεια, θα πάρει ένα ωφέλιμο φορτίο RShell από τον διακομιστή Command-and-Control (C2, C&C), θα το γράψει στον φάκελο temp, θα του εκχωρήσει άδεια εκτέλεσης και τελικά θα το εκτελέσει.

Η ανάλυση του RShell αποκάλυψε ότι είναι μια απειλή κερκόπορτας εξοπλισμένη με τα τυπικά χαρακτηριστικά που σχετίζονται με αυτόν τον τύπο κακόβουλου λογισμικού. Τα πρώτα δείγματα που ανακαλύφθηκαν από την TrendMicro είναι από τον Ιούνιο του 2021. Το RShell παραδίδεται σε μορφή Mach-O σε συστήματα macOS και ELF σε πλατφόρμες Linux. Όταν ενεργοποιηθεί στη συσκευή του θύματος, η απειλή θα συλλέξει διάφορες πληροφορίες συστήματος, όπως όνομα υπολογιστή, διεύθυνση IP, όνομα χρήστη, έκδοση κ.λπ. Όλα τα δεδομένα που συγκεντρώθηκαν θα συσκευαστούν σε ένα δυαδικό μήνυμα JSON και θα μεταδοθούν στον διακομιστή C2 σε μη κρυπτογραφημένη μορφή. TCP. Οι φορείς απειλών APT μπορούν να δώσουν εντολή στο RShell να εκτελεί εντολές στο κέλυφος, να διαβάζει αρχεία, να παραθέτει τα αρχεία και τους καταλόγους στο ριζικό σύστημα αρχείων, να γράφει δεδομένα σε καθορισμένα αρχεία και πολλά άλλα.