आरशेल मैलवेयर

चीनी साइबर अपराधियों को एक मैसेंजर एप्लिकेशन के हथियारयुक्त संस्करण का उपयोग करने के लिए RShell नामक एक पिछले दरवाजे के खतरे को तैनात करने के तरीके के रूप में उजागर किया गया है। पिछले दरवाजे के खतरे में Linux और macOS सिस्टम के संस्करण हैं। सुरक्षा शोधकर्ताओं द्वारा रिपोर्ट में हमले के संचालन और RShell मैलवेयर के बारे में विवरण जारी किया गया था। उनके अनुसार, RShell APT (एडवांस पर्सिस्टेंट थ्रेट) समूह के खतरनाक शस्त्रागार का हिस्सा है, जिसे APT27 , लकीमाउस, आयरनटाइगर और एमिसरी पांडा के रूप में ट्रैक किया गया है। यह विशेष रूप से साइबर अपराध समूह एक दशक से अधिक समय से सक्रिय है और मुख्य रूप से साइबर-जासूसी संचालन पर केंद्रित है।

हैकर्स ने 'MìMì' ('मिमी' - 秘秘 - 'सीक्रेट') इलेक्ट्रॉन मैसेजिंग एप्लिकेशन के ट्रोजनाइज्ड वर्जन का इस्तेमाल किया, जिसे एंड्रॉइड, आईओएस, विंडोज और मैकओएस प्लेटफॉर्म के लिए उपलब्ध के रूप में विज्ञापित किया गया है। शोधकर्ताओं ने एक लिनक्स संस्करण का खुलासा किया, जो RShell मैलवेयर भी वितरित कर रहा था। जब दूषित macOS MiMi संस्करण सक्रिय होता है, तो यह पहले जाँचता है कि पर्यावरण आवश्यक मापदंडों - macOS (डार्विन) से मेल खाता है या नहीं। बाद में, यह अपने कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से एक RShell पेलोड प्राप्त करेगा, इसे अस्थायी फ़ोल्डर में लिखेगा, इसे निष्पादन की अनुमति देगा और अंत में इसे निष्पादित करेगा।

RShell के विश्लेषण से पता चला है कि यह एक पिछले दरवाजे का खतरा है जो इस मैलवेयर प्रकार से जुड़ी विशिष्ट विशेषताओं से लैस है। TrendMicro द्वारा खोजे गए सबसे शुरुआती नमूने जून 2021 के हैं। RShell MacOS सिस्टम पर Mach-O प्रारूप में और Linux प्लेटफ़ॉर्म पर ELF वितरित किया जाता है। पीड़ित के डिवाइस पर सक्रिय होने पर, खतरा विभिन्न सिस्टम जानकारी एकत्र करेगा, जिसमें कंप्यूटर का नाम, आईपी पता, उपयोगकर्ता नाम, संस्करण, आदि शामिल हैं। सभी काटे गए डेटा को बाइनरी JSON संदेश में पैक किया जाएगा और C2 सर्वर को एक अनएन्क्रिप्टेड रूप में प्रेषित किया जाएगा। टीसीपी. APT खतरे वाले अभिनेता RShell को शेल में कमांड निष्पादित करने, फाइलें पढ़ने, रूट फाइल सिस्टम में फाइलों और निर्देशिकाओं को सूचीबद्ध करने, निर्दिष्ट फाइलों में डेटा लिखने और बहुत कुछ करने का निर्देश दे सकते हैं।