RShell skadelig programvare

Kinesiske nettkriminelle har blitt avdekket for å bruke en våpenversjon av en messenger-applikasjon som en måte å distribuere en bakdørstrussel kalt RShell. Bakdørstrusselen har versjoner for Linux- og macOS-systemer. Detaljer om angrepsoperasjonene og RShell-malware ble utgitt i rapporter fra sikkerhetsforskere. Ifølge dem er RShell en del av det truende arsenalet til APT (Advanced Persistent Threat)-gruppen sporet som APT27 , LuckyMouse, IronTiger og Emissary Panda. Denne spesielle cyberkriminalitetsgruppen har vært aktiv i over et tiår og er primært fokusert på cyberspionasjeoperasjoner.

Hackerne brukte en trojanisert versjon av 'MìMì' ('mimi' - 秘秘 - 'hemmelig') Electron meldingsapplikasjon som annonseres som tilgjengelig for Android, iOS, Windows og macOS-plattformer. Forskerne avdekket en Linux-versjon, som også leverte RShell-malware. Når den ødelagte macOS MiMi-versjonen er aktivert, sjekker den først om miljøet samsvarer med de nødvendige parameterne - macOS (Darwin). Etterpå vil den hente en RShell-nyttelast fra Command-and-Control-serveren (C2, C&C), skrive den til temp-mappen, gi den utførelsestillatelse og til slutt kjøre den.

Analyse av RShell har avslørt at det er en bakdørstrussel utstyrt med de typiske funksjonene knyttet til denne typen skadelig programvare. De tidligste prøvene oppdaget av TrendMicro er fra juni 2021. RShell leveres i Mach-O-formatet på macOS-systemer og ELF på Linux-plattformer. Når den aktiveres på offerets enhet, vil trusselen samle inn diverse systeminformasjon, inkludert datamaskinnavn, IP-adresse, brukernavn, versjon osv. Alle innhentede data vil bli pakket inn i en binær JSON-melding og sendt til C2-serveren i ukryptert form over TCP. APT-trusselaktørene kan instruere RShell til å utføre kommandoer i shell, lese filer, liste filene og katalogene i rotfilsystemet, skrive data til spesifiserte filer og mer.