Rshell-haittaohjelma

Kiinalaisten kyberrikollisten on paljastettu käyttävän aseistettua versiota messenger-sovelluksesta tapana ottaa käyttöön takaoven uhka nimeltä RShell. Takaoven uhalla on versiot Linux- ja macOS-järjestelmille. Tietoa hyökkäystoiminnasta ja RShell-haittaohjelmasta julkaistiin tietoturvatutkijoiden raporteissa. Heidän mukaansa RShell on osa APT (Advanced Persistent Threat) -ryhmän uhkaavaa arsenaalia, jota seurataan nimillä APT27 , LuckyMouse, IronTiger ja Emissary Panda. Tämä kyberrikollisryhmä on toiminut aktiivisesti yli kymmenen vuoden ajan ja keskittyy ensisijaisesti kybervakoilutoimintaan.

Hakkerit käyttivät troijalaista versiota MìMì ('mimi' – 秘秘 – 'salainen') elektroniviestintäsovelluksesta, jonka mainostetaan olevan saatavilla Android-, iOS-, Windows- ja macOS-alustoilla. Tutkijat löysivät Linux-version, joka toimitti myös RShell-haittaohjelman. Kun vioittunut macOS MiMi -versio aktivoidaan, se tarkistaa ensin, vastaako ympäristö tarvittavia parametreja - macOS (Darwin). Myöhemmin se hakee RShell-hyötykuorman Command-and-Control (C2, C&C) -palvelimestaan, kirjoittaa sen temp-kansioon, myöntää sille suoritusluvan ja lopulta suorittaa sen.

RShellin analyysi on paljastanut, että se on takaoven uhka, joka on varustettu tähän haittaohjelmatyyppiin liittyvillä tyypillisillä ominaisuuksilla. Varhaisimmat TrendMicron löytämät näytteet ovat kesäkuulta 2021. RShell toimitetaan Mach-O-muodossa macOS-järjestelmissä ja ELF Linux-alustoissa. Kun uhka aktivoituu uhrin laitteessa, se kerää erilaisia järjestelmätietoja, kuten tietokoneen nimen, IP-osoitteen, käyttäjätunnuksen, version jne. Kaikki kerätyt tiedot pakataan binaariseen JSON-viestiin ja lähetetään C2-palvelimelle salaamattomassa muodossa. TCP. APT-uhkatoimijat voivat ohjeistaa RShellia suorittamaan komentoja shellissä, lukemaan tiedostoja, luetteloimaan juuritiedostojärjestelmän tiedostoja ja hakemistoja, kirjoittamaan tietoja tiettyihin tiedostoihin ja paljon muuta.