មេរោគ RShel

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរបស់ចិនត្រូវបានគេរកឃើញដើម្បីប្រើកំណែអាវុធនៃកម្មវិធីផ្ញើសារជាមធ្យោបាយមួយដើម្បីដាក់ពង្រាយការគំរាមកំហែងខាងក្រោយដែលមានឈ្មោះថា RShell ។ ការគំរាមកំហែង backdoor មានកំណែសម្រាប់ប្រព័ន្ធ Linux និង macOS ។ ព័ត៌មានលម្អិតអំពីប្រតិបត្តិការវាយប្រហារ និងមេរោគ RShell ត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដោយអ្នកស្រាវជ្រាវសន្តិសុខ។ យោងតាមពួកគេ RShell គឺជាផ្នែកមួយនៃឃ្លាំងអាវុធគំរាមកំហែងនៃក្រុម APT (Advanced Persistent Threat) ដែលត្រូវបានតាមដានដូចជា APT27 , LuckyMouse, IronTiger និង Emissary Panda ។ ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតពិសេសនេះបានធ្វើសកម្មភាពអស់រយៈពេលជាងមួយទសវត្សរ៍ ហើយត្រូវបានផ្តោតជាចម្បងលើប្រតិបត្តិការចារកម្មតាមអ៊ីនធឺណិត។

ពួក Hacker បានប្រើកំណែ trojanized នៃ 'MìMì' ('mimi' - 秘秘 – 'secret') កម្មវិធីផ្ញើសារអេឡិចត្រូនិច ដែលត្រូវបានផ្សព្វផ្សាយថាមានសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android, iOS, Windows និង macOS ។ អ្នកស្រាវជ្រាវបានរកឃើញកំណែលីនុច ថែមទាំងផ្តល់នូវមេរោគ RShell ផងដែរ។ នៅពេលដែលកំណែ macOS MiMi ដែលខូចត្រូវបានធ្វើឱ្យសកម្ម ដំបូងវាពិនិត្យមើលថាតើបរិស្ថានត្រូវគ្នានឹងប៉ារ៉ាម៉ែត្រចាំបាច់ដែរឬទេ - macOS (Darwin) ។ បន្ទាប់មក វានឹងទៅយក RShell payload ពី Command-and-Control (C2, C&C) server របស់វា សរសេរវាទៅ temp folder ផ្តល់ការអនុញ្ញាតអោយប្រតិបត្តិ ហើយចុងក្រោយ execute វា។

ការវិភាគនៃ RShell បានបង្ហាញឱ្យឃើញថា វាគឺជាការគំរាមកំហែង backdoor ដែលបំពាក់ដោយលក្ខណៈពិសេសធម្មតាដែលទាក់ទងនឹងប្រភេទមេរោគនេះ។ គំរូដំបូងបំផុតដែលរកឃើញដោយ TrendMicro គឺចាប់ពីខែមិថុនា ឆ្នាំ 2021។ RShell ត្រូវបានចែកចាយក្នុងទម្រង់ Mach-O នៅលើប្រព័ន្ធ macOS និង ELF នៅលើវេទិកាលីនុច។ នៅពេលបើកដំណើរការនៅលើឧបករណ៍របស់ជនរងគ្រោះ ការគំរាមកំហែងនឹងប្រមូលព័ត៌មានប្រព័ន្ធផ្សេងៗ រួមទាំងឈ្មោះកុំព្យូទ័រ អាសយដ្ឋាន IP ឈ្មោះអ្នកប្រើប្រាស់ កំណែ។ TCP ។ តួអង្គគំរាមកំហែង APT អាចណែនាំ RShell ឱ្យប្រតិបត្តិពាក្យបញ្ជានៅក្នុងសែល អានឯកសារ រាយបញ្ជីឯកសារ និងថតក្នុងប្រព័ន្ធឯកសារ root សរសេរទិន្នន័យទៅឯកសារដែលបានបញ្ជាក់ និងច្រើនទៀត។