بدافزار RShell

مجرمان سایبری چینی کشف شده اند که از یک نسخه تسلیحاتی یک برنامه پیام رسان به عنوان راهی برای استقرار یک تهدید درب پشتی به نام RShell استفاده می کنند. تهدید درب پشتی نسخه هایی برای سیستم های لینوکس و macOS دارد. جزئیات عملیات حمله و بدافزار RShell در گزارش‌های محققان امنیتی منتشر شد. به گفته آنها، RShell بخشی از زرادخانه تهدید کننده گروه APT (تهدید پایدار پیشرفته) است که با نام های APT27 ، LuckyMouse، IronTiger و Emissary Panda ردیابی می شود. این گروه خاص جرایم سایبری بیش از یک دهه است که فعال بوده و عمدتاً بر عملیات جاسوسی سایبری متمرکز است.

هکرها از یک نسخه تروجانیزه شده از برنامه پیام‌رسانی الکترونیکی «MìMì» («mimi» - 秘秘 – «مخفی») استفاده کردند که برای پلتفرم‌های Android، iOS، Windows و macOS در دسترس است. محققان یک نسخه لینوکس را کشف کردند که بدافزار RShell را نیز ارائه می کرد. هنگامی که نسخه مخرب macOS MiMi فعال می شود، ابتدا بررسی می کند که آیا محیط با پارامترهای لازم مطابقت دارد - macOS (Darwin). پس از آن، یک بار RShell را از سرور Command-and-Control (C2, C&C) خود دریافت می کند، آن را در پوشه temp می نویسد، به آن اجازه اجرا می دهد و در نهایت آن را اجرا می کند.

تجزیه و تحلیل RShell نشان داده است که یک تهدید در پشتی مجهز به ویژگی های معمولی مرتبط با این نوع بدافزار است. اولین نمونه های کشف شده توسط TrendMicro مربوط به ژوئن 2021 است. RShell در قالب Mach-O در سیستم های macOS و ELF در سیستم عامل های لینوکس ارائه می شود. هنگامی که تهدید در دستگاه قربانی فعال می شود، اطلاعات سیستمی مختلف از جمله نام رایانه، آدرس IP، نام کاربری، نسخه و غیره را جمع آوری می کند. همه داده های جمع آوری شده در یک پیام JSON باینری بسته بندی می شوند و به صورت رمزگذاری نشده به سرور C2 منتقل می شوند. TCP. عامل‌های تهدید APT می‌توانند به RShell دستور دهند تا دستورات را در پوسته اجرا کند، فایل‌ها را بخواند، فایل‌ها و دایرکتوری‌ها را در سیستم فایل ریشه فهرست کند، داده‌ها را در فایل‌های مشخص شده بنویسد و موارد دیگر.