Zlonamjerni softver RShell

Otkriveno je da kineski kibernetički kriminalci koriste inačicu aplikacije za slanje poruka s oružjem kao način za implementaciju backdoor prijetnje pod nazivom RShell. Backdoor prijetnja ima verzije za Linux i macOS sustave. Pojedinosti o operacijama napada i zlonamjernom softveru RShell objavljeni su u izvješćima sigurnosnih istraživača. Prema njima, RShell je dio prijetećeg arsenala APT (Advanced Persistent Threat) grupe praćene kao APT27 , LuckyMouse, IronTiger i Emissary Panda. Ova skupina kibernetičkog kriminala aktivna je više od desetljeća i prvenstveno je usredotočena na operacije kibernetičke špijunaže.

Hakeri su koristili trojaniziranu verziju aplikacije za razmjenu poruka Electron 'MìMì' ('mimi' - 秘秘 – 'tajna') koja se reklamira kao dostupna za platforme Android, iOS, Windows i macOS. Istraživači su otkrili verziju Linuxa, koja također isporučuje zlonamjerni softver RShell. Kada se aktivira oštećena verzija macOS MiMi, prvo se provjerava odgovara li okruženje potrebnim parametrima - macOS (Darwin). Nakon toga, dohvatit će korisni teret RShell-a sa svog Command-and-Control (C2, C&C) poslužitelja, zapisati ga u privremenu mapu, dodijeliti mu dozvolu za izvođenje i konačno ga izvršiti.

Analiza RShell-a otkrila je da je riječ o backdoor prijetnji opremljenoj tipičnim značajkama povezanim s ovom vrstom zlonamjernog softvera. Najraniji uzorci koje je TrendMicro otkrio su iz lipnja 2021. RShell se isporučuje u Mach-O formatu na macOS sustavima i ELF na Linux platformama. Kada se aktivira na žrtvinom uređaju, prijetnja će prikupiti različite informacije o sustavu, uključujući naziv računala, IP adresu, korisničko ime, verziju itd. Svi prikupljeni podaci bit će upakirani u binarnu JSON poruku i poslani na C2 poslužitelj u nešifriranom obliku preko TCP. Akteri APT prijetnji mogu uputiti RShell da izvršava naredbe u ljusci, čita datoteke, navodi datoteke i direktorije u korijenskom datotečnom sustavu, piše podatke u određene datoteke i više.