Licenties voor meerdere apparaten (volumekortingen)
Threat Database Backdoors RShell-malware

RShell-malware

Tegen Mezo in Backdoors
Vertalen naar:
Nederlands

Chinese cybercriminelen zijn ontdekt om een bewapende versie van een messenger-applicatie te gebruiken als een manier om een achterdeurbedreiging genaamd RShell in te zetten. De backdoor-dreiging heeft versies voor Linux- en macOS-systemen. Details over de aanvalsoperaties en de RShell-malware zijn vrijgegeven in rapporten van beveiligingsonderzoekers. Volgens hen maakt RShell deel uit van het dreigende arsenaal van de APT-groep (Advanced Persistent Threat), gevolgd als APT27 , LuckyMouse, IronTiger en Emissary Panda. Deze specifieke cybercriminaliteitsgroep is al meer dan tien jaar actief en richt zich voornamelijk op cyberspionageoperaties.

De hackers gebruikten een getrojaniseerde versie van de 'MìMì' ('mimi' - 秘秘 – 'geheim') Electron-berichtentoepassing waarvan wordt geadverteerd dat deze beschikbaar is voor Android-, iOS-, Windows- en macOS-platforms. De onderzoekers ontdekten een Linux-versie, die ook de RShell-malware afleverde. Wanneer de beschadigde macOS MiMi-versie is geactiveerd, wordt eerst gecontroleerd of de omgeving overeenkomt met de benodigde parameters - macOS (Darwin). Daarna zal het een RShell-payload ophalen van zijn Command-and-Control (C2, C&C)-server, het naar de tijdelijke map schrijven, het uitvoeringstoestemming verlenen en het uiteindelijk uitvoeren.

Analyse van RShell heeft aangetoond dat het een backdoor-bedreiging is die is uitgerust met de typische kenmerken van dit type malware. De vroegste voorbeelden die door TrendMicro zijn ontdekt, zijn van juni 2021. RShell wordt geleverd in het Mach-O-formaat op macOS-systemen en ELF op Linux-platforms. Wanneer geactiveerd op het apparaat van het slachtoffer, verzamelt de dreiging verschillende systeeminformatie, waaronder computernaam, IP-adres, gebruikersnaam, versie, enz. Alle verzamelde gegevens worden verpakt in een binair JSON-bericht en verzonden naar de C2-server in een niet-versleutelde vorm over TCP. De APT-bedreigingsactoren kunnen RShell instrueren om commando's in shell uit te voeren, bestanden te lezen, de bestanden en mappen in het rootbestandssysteem op te sommen, gegevens naar gespecificeerde bestanden te schrijven en meer.

Trending

Meest bekeken

Bezig met laden...