RShell मालवेयर

चिनियाँ साइबर अपराधीहरूले RShell नामको ब्याकडोर खतरा तैनात गर्ने तरिकाको रूपमा मेसेन्जर अनुप्रयोगको हतियारयुक्त संस्करण प्रयोग गरेको खुलासा भएको छ। ब्याकडोर खतरामा Linux र macOS प्रणालीहरूको लागि संस्करणहरू छन्। सुरक्षा अनुसन्धानकर्ताहरू द्वारा रिपोर्टहरूमा आक्रमण अपरेशनहरू र RShell मालवेयरको बारेमा विवरणहरू जारी गरिएको थियो। तिनीहरूका अनुसार, RShell APT (Advanced Persistent Threat) समूहको APT27 , LuckyMouse, IronTiger र Emissary Panda को रूपमा ट्र्याक गरिएको खतरनाक शस्त्रागारको हिस्सा हो। यो विशेष साइबर अपराध समूह एक दशकभन्दा बढी समयदेखि सक्रिय छ र मुख्य रूपमा साइबर-जासुसी कार्यहरूमा केन्द्रित छ।

ह्याकरहरूले 'MìMì' ('mimi' - 秘秘 - 'सेक्रेट') इलेक्ट्रोन सन्देश अनुप्रयोगको ट्रोजनाइज्ड संस्करण प्रयोग गरे जुन एन्ड्रोइड, आईओएस, विन्डोज र macOS प्लेटफर्महरूका लागि उपलब्ध रूपमा विज्ञापन गरिएको छ। शोधकर्ताहरूले लिनक्स संस्करणको पर्दाफाश गरे, RShell मालवेयर पनि डेलिभर गर्दै। जब दूषित macOS MiMi संस्करण सक्रिय हुन्छ, यसले पहिले वातावरण आवश्यक मापदण्डहरू - macOS (डार्विन) सँग मेल खान्छ कि भनेर जाँच गर्दछ। पछि, यसले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरबाट RShell पेलोड ल्याउनेछ, यसलाई टेम्प फोल्डरमा लेख्नेछ, यसलाई कार्यान्वयन अनुमति दिनुहोस् र अन्तमा यसलाई कार्यान्वयन गर्नुहोस्।

RShell को विश्लेषणले पत्ता लगाएको छ कि यो मालवेयर प्रकार संग सम्बन्धित विशिष्ट सुविधाहरू संग सुसज्जित ब्याकडोर खतरा हो। TrendMicro ले पत्ता लगाएका प्रारम्भिक नमूनाहरू जुन २०२१ को हुन्। RShell लाई macOS प्रणालीहरूमा Mach-O ढाँचामा र Linux प्लेटफर्महरूमा ELF मा डेलिभर गरिन्छ। जब पीडितको यन्त्रमा सक्रिय हुन्छ, धम्कीले कम्प्युटर नाम, IP ठेगाना, प्रयोगकर्ता नाम, संस्करण, आदि सहित विभिन्न प्रणाली जानकारी सङ्कलन गर्नेछ। सबै काटिएको डाटा बाइनरी JSON सन्देशमा प्याक गरिनेछ र एन्क्रिप्टेड फारममा C2 सर्भरमा पठाइनेछ। TCP। APT खतरा अभिनेताहरूले RShell लाई शेलमा आदेशहरू कार्यान्वयन गर्न, फाइलहरू पढ्न, रूट फाइल प्रणालीमा फाइलहरू र डाइरेक्टरीहरू सूचीबद्ध गर्न, निर्दिष्ट फाइलहरूमा डाटा लेख्न र थप गर्न निर्देशन दिन सक्छन्।