RShell ļaunprātīga programmatūra

Ir atklāti, ka Ķīnas kibernoziedznieki izmanto ieroču lietojumprogrammas Messenger versiju, lai izvietotu aizmugures draudus ar nosaukumu RShell. Aizmugurējo durvju draudiem ir versijas Linux un MacOS sistēmām. Sīkāka informācija par uzbrukuma operācijām un RShell ļaunprogrammatūru tika publicēta drošības pētnieku ziņojumos. Pēc viņu domām, RShell ir daļa no APT (Advanced Persistent Threat) grupas, kas izsekots kā APT27 , LuckyMouse, IronTiger un Emissary Panda, draudošajā arsenālā. Šī konkrētā kibernoziedzības grupa ir bijusi aktīva vairāk nekā desmit gadus un galvenokārt ir vērsta uz kiberspiegošanas operācijām.

Hakeri izmantoja elektroniskās ziņojumapmaiņas lietojumprogrammas MìMì (“mimi” — 秘秘 — 'slepens') trojanizētu versiju, kas tiek reklamēta kā pieejama Android, iOS, Windows un macOS platformām. Pētnieki atklāja Linux versiju, kas arī piegādāja RShell ļaunprogrammatūru. Kad tiek aktivizēta bojātā macOS MiMi versija, tā vispirms pārbauda, vai vide atbilst nepieciešamajiem parametriem - macOS (Darwin). Pēc tam tas ienesīs RShell lietderīgo slodzi no sava Command-and-Control (C2, C&C) servera, ierakstīs to pagaidu mapē, piešķirs tai izpildes atļauju un visbeidzot izpildīs.

RShell analīze atklāja, ka tas ir aizmugures durvju drauds, kas aprīkots ar tipiskām funkcijām, kas saistītas ar šo ļaunprātīgas programmatūras veidu. Agrākie TrendMicro atklātie paraugi ir no 2021. gada jūnija. RShell tiek piegādāts Mach-O formātā MacOS sistēmās un ELF — Linux platformās. Kad draudi tiks aktivizēti upura ierīcē, tiks apkopota dažāda sistēmas informācija, tostarp datora nosaukums, IP adrese, lietotājvārds, versija utt. Visi iegūtie dati tiks iesaiņoti binārā JSON ziņojumā un pārsūtīti uz C2 serveri nešifrētā veidā. TCP. APT draudu dalībnieki var uzdot RShell izpildīt komandas apvalkā, lasīt failus, uzskaitīt failus un direktorijus saknes failu sistēmā, rakstīt datus norādītajos failos un veikt citas darbības.