תוכנות זדוניות של RShell

פושעי סייבר סיניים התגלו כשהם משתמשים בגרסה מנשקת של אפליקציית מסנג'ר כדרך לפרוס איום בדלת אחורית בשם RShell. לאיום הדלת האחורית יש גרסאות למערכות לינוקס ו-macOS. פרטים על פעולות ההתקפה והתוכנה הזדונית RShell פורסמו בדיווחים של חוקרי אבטחה. לדבריהם, RShell הוא חלק מהארסנל המאיים של קבוצת APT (Advanced Persistent Threat) המעקב אחריהם APT27 , LuckyMouse, IronTiger ו-Emissary Panda. קבוצת פשעי סייבר מסוימת זו פעילה למעלה מעשור ומתמקדת בעיקר בפעולות ריגול סייבר.

ההאקרים השתמשו בגרסה טרויאנית של 'MìMì' ('mimi' - 秘秘 – 'סוד') אפליקציית הודעות אלקטרונים המתפרסמת כזמינה עבור פלטפורמות אנדרואיד, iOS, Windows ו-macOS. החוקרים חשפו גרסת לינוקס, המספקת גם את התוכנה הזדונית RShell. כאשר גרסת macOS MiMi הפגומה מופעלת, היא בודקת תחילה אם הסביבה תואמת לפרמטרים הדרושים - macOS (Darwin). לאחר מכן, הוא יביא עומס RShell משרת ה-Command-and-Control (C2, C&C), יכתוב אותו לתיקיה הזמנית, יעניק לו הרשאת ביצוע ולבסוף יבצע אותו.

ניתוח של RShell גילה שזהו איום בדלת אחורית המצויד בתכונות האופייניות הקשורות לסוג תוכנה זדונית זה. הדגימות המוקדמות ביותר שהתגלו על ידי TrendMicro הן מיוני 2021. RShell מסופק בפורמט Mach-O במערכות macOS ו-ELF בפלטפורמות לינוקס. כאשר האיום מופעל במכשיר של הקורבן, האיום יאסוף מידע מערכתי שונים, כולל שם מחשב, כתובת IP, שם משתמש, גרסה וכו'. כל הנתונים שנאספו ייארזו בהודעת JSON בינארית וישודרו לשרת C2 בצורה לא מוצפנת מעל TCP. גורמי האיום של APT יכולים להורות ל-RShell לבצע פקודות במעטפת, לקרוא קבצים, לרשום את הקבצים והספריות במערכת הקבצים הבסיסית, לכתוב נתונים לקבצים שצוינו ועוד.