RShell kenkėjiška programa

Buvo atskleista, kad Kinijos kibernetiniai nusikaltėliai naudoja ginkluotą „Messenger“ programos versiją kaip būdą panaudoti užpakalinių durų grėsmę, pavadintą „RShell“. Užpakalinių durų grėsmė turi „Linux“ ir „MacOS“ sistemų versijas. Išsamią informaciją apie atakos operacijas ir RShell kenkėjišką programą paskelbė saugumo tyrėjų ataskaitos. Anot jų, RShell yra grėsmingo APT (Advanced Persistent Threat) grupės, sekamos kaip APT27 , LuckyMouse, IronTiger ir Emissary Panda, arsenalo dalis. Ši konkreti elektroninių nusikaltimų grupė veikia daugiau nei dešimtmetį ir daugiausia dėmesio skiria kibernetinio šnipinėjimo operacijoms.

Įsilaužėliai naudojo trojanizuotą elektroninių pranešimų programos „MìMì“ („mimi“ – 秘秘 – „slapta“) versiją, kuri, kaip skelbiama, pasiekiama „Android“, „iOS“, „Windows“ ir „MacOS“ platformose. Tyrėjai atskleidė „Linux“ versiją, kuri taip pat pristatė „RShell“ kenkėjišką programą. Kai suaktyvinama sugadinta macOS MiMi versija, ji pirmiausia patikrina, ar aplinka atitinka reikiamus parametrus – macOS (Darwin). Vėliau jis paims RShell naudingąjį apkrovą iš savo komandų ir valdymo (C2, C&C) serverio, įrašys jį į laikinąjį aplanką, suteiks vykdymo leidimą ir galiausiai vykdys.

RShell analizė atskleidė, kad tai yra užpakalinių durų grėsmė, turinti tipines su šio tipo kenkėjiška programa susijusias funkcijas. Pirmieji TrendMicro aptikti pavyzdžiai yra 2021 m. birželio mėn. RShell pateikiamas Mach-O formatu MacOS sistemose ir ELF Linux platformose. Kai bus suaktyvinta aukos įrenginyje, grėsmė rinks įvairią sistemos informaciją, įskaitant kompiuterio pavadinimą, IP adresą, vartotojo vardą, versiją ir kt. Visi surinkti duomenys bus supakuoti į dvejetainį JSON pranešimą ir nešifruota forma perduodami į C2 serverį. TCP. APT grėsmės veikėjai gali nurodyti RShell vykdyti komandas apvalkale, skaityti failus, išvardyti failus ir katalogus šakninėje failų sistemoje, įrašyti duomenis į nurodytus failus ir dar daugiau.