RShelli pahavara

Hiina küberkurjategijad on paljastanud, et nad kasutavad Messenger-rakenduse relvastatud versiooni RShelli-nimelise tagaukse ohu juurutamiseks. Tagaukse ohul on versioonid Linuxi ja macOS-i süsteemide jaoks. Üksikasjad ründeoperatsioonide ja RShelli pahavara kohta avaldati turvauurijate aruannetes. Nende sõnul kuulub RShell APT (Advanced Persistent Threat) grupi ähvardavasse arsenali, mida jälgitakse kui APT27 , LuckyMouse, IronTiger ja Emissary Panda. See konkreetne küberkuritegevuse rühmitus on tegutsenud üle kümne aasta ja on peamiselt keskendunud küberspionaažioperatsioonidele.

Häkkerid kasutasid elektroonilise sõnumsiderakenduse MìMì ('mimi' – 秘秘 – 'salajane') troojastatud versiooni, mis reklaamitakse olevat saadaval Androidi, iOS-i, Windowsi ja macOS-i platvormidele. Teadlased avastasid Linuxi versiooni, mis edastas ka RShelli pahavara. Kui rikutud macOS MiMi versioon on aktiveeritud, kontrollib see esmalt, kas keskkond vastab vajalikele parameetritele – macOS (Darwin). Seejärel tõmbab see oma Command-and-Control (C2, C&C) serverist RShelli kasuliku koormuse, kirjutab selle ajutisse kausta, annab sellele täitmisloa ja lõpuks käivitab.

RShelli analüüs näitas, et see on tagaukse oht, mis on varustatud seda tüüpi pahavara tüüpiliste funktsioonidega. Varaseimad TrendMicro avastatud näidised pärinevad 2021. aasta juunist. RShell tarnitakse MacOS-süsteemides Mach-O-vormingus ja Linuxi platvormidel ELF. Ohvri seadmes aktiveerimisel kogub oht erinevat süsteemiteavet, sealhulgas arvuti nimi, IP-aadress, kasutajanimi, versioon jne. Kõik kogutud andmed pakitakse binaarsesse JSON-sõnumisse ja edastatakse C2-serverisse krüptimata kujul. TCP. APT ohus osalejad saavad anda RShellile käsu täita shellis käske, lugeda faile, loetleda faile ja katalooge juurfailisüsteemis, kirjutada andmeid määratud failidesse ja palju muud.