RShell Malware

Kínai kiberbűnözőkről derült ki, hogy egy üzenetküldő alkalmazás fegyveres verzióját használják az RShell nevű backdoor fenyegetés bevetésére. A backdoor fenyegetésnek Linux és macOS rendszerekre is van verziója. A támadási műveletekről és az RShell kártevőről a biztonsági kutatók jelentéseiből számoltak be. Szerintük az RShell az APT (Advanced Persistent Threat) csoport fenyegető fegyvertárának része, amelyet APT27 , LuckyMouse, IronTiger és Emissary Panda néven követnek. Ez a konkrét kiberbűnözési csoport több mint egy évtizede aktív, és elsősorban a kiberkémkedési műveletekre összpontosít.

A hackerek a "MìMì" ("mimi" - 秘秘 - "titkos") elektronikus üzenetküldő alkalmazás trójai verzióját használták, amely Android, iOS, Windows és macOS platformokon elérhető. A kutatók egy Linux-verziót fedeztek fel, amely az RShell kártevőt is szállította. A sérült macOS MiMi verzió aktiválásakor először ellenőrzi, hogy a környezet megfelel-e a szükséges paramétereknek - macOS (Darwin). Ezután lekér egy RShell hasznos adatot a Command-and-Control (C2, C&C) szerveréről, beírja a temp mappába, végrehajtási engedélyt ad neki, és végül végrehajtja.

Az RShell elemzése feltárta, hogy ez egy hátsó ajtós fenyegetés, amely az ehhez a rosszindulatú programhoz kapcsolódó jellemző tulajdonságokkal rendelkezik. A TrendMicro által felfedezett legkorábbi minták 2021 júniusából származnak. Az RShell Mach-O formátumban kerül kiszállításra macOS rendszereken és ELF Linux platformokon. Amikor az áldozat eszközén aktiválódik, a fenyegetés különféle rendszerinformációkat gyűjt, beleértve a számítógép nevét, IP-címét, felhasználónevét, verzióját stb. Az összes begyűjtött adat bináris JSON-üzenetbe kerül, és titkosítatlan formában továbbítja a C2-kiszolgálóhoz. TCP. Az APT fenyegetés szereplői utasíthatják az RShellt, hogy parancsokat hajtson végre shellben, olvasson fájlokat, listázza ki a fájlokat és könyvtárakat a gyökér fájlrendszerben, írjon adatokat meghatározott fájlokhoz és még sok mást.