RShell 악성코드

중국 사이버 범죄자들이 RShell이라는 백도어 위협을 배포하는 방법으로 메신저 애플리케이션의 무기화된 버전을 사용하는 것으로 밝혀졌습니다. 백도어 위협에는 Linux 및 macOS 시스템용 버전이 있습니다. 공격 작업 및 RShell 악성 코드에 대한 세부 정보는 보안 연구원의 보고서에서 공개되었습니다. 그들에 따르면 RShell은 APT27 , LuckyMouse, IronTiger 및 Emissary Panda로 추적되는 APT(Advanced Persistent Threat) 그룹의 위협적인 무기고의 일부입니다. 이 특정 사이버 범죄 그룹은 10년 넘게 활동해 왔으며 주로 사이버 스파이 활동에 중점을 둡니다.

해커는 Android, iOS, Windows 및 macOS 플랫폼에서 사용 가능한 것으로 광고되는 'MìMì'('mimi' - 秘秘 – 'secret') Electron 메시징 응용 프로그램의 트로이 목마 버전을 사용했습니다. 연구원들은 RShell 악성코드도 제공하는 Linux 버전을 발견했습니다. 손상된 macOS MiMi 버전이 활성화되면 먼저 환경이 필요한 매개변수인 macOS(Darwin)와 일치하는지 확인합니다. 그런 다음 Command-and-Control(C2, C&C) 서버에서 RShell 페이로드를 가져와 임시 폴더에 쓰고 실행 권한을 부여하고 마지막으로 실행합니다.

RShell을 분석한 결과 이 악성코드 유형과 관련된 일반적인 기능을 갖춘 백도어 위협이 있는 것으로 나타났습니다. TrendMicro가 발견한 가장 초기 샘플은 2021년 6월입니다. RShell은 macOS 시스템에서 Mach-O 형식으로 제공되고 Linux 플랫폼에서 ELF로 제공됩니다. 피해자의 기기에서 활성화되면 위협 요소는 컴퓨터 이름, IP 주소, 사용자 이름, 버전 등을 포함한 다양한 시스템 정보를 수집합니다. 수집된 모든 데이터는 바이너리 JSON 메시지로 압축되어 암호화되지 않은 형태로 C2 서버에 전송됩니다. TCP. APT 위협 행위자는 RShell에게 쉘에서 명령을 실행하고, 파일을 읽고, 루트 파일 시스템의 파일 및 디렉토리를 나열하고, 지정된 파일에 데이터를 쓰도록 지시할 수 있습니다.