RShell ਮਾਲਵੇਅਰ

ਚੀਨੀ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਉਹ ਇੱਕ ਮੈਸੇਂਜਰ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਇੱਕ ਹਥਿਆਰ ਵਾਲੇ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ RShell ਨਾਮਕ ਇੱਕ ਬੈਕਡੋਰ ਧਮਕੀ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੇ ਤਰੀਕੇ ਵਜੋਂ ਕਰਦੇ ਹਨ। ਬੈਕਡੋਰ ਖ਼ਤਰੇ ਵਿੱਚ ਲੀਨਕਸ ਅਤੇ ਮੈਕੋਸ ਸਿਸਟਮਾਂ ਲਈ ਸੰਸਕਰਣ ਹਨ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਰਿਪੋਰਟਾਂ ਵਿੱਚ ਹਮਲੇ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਅਤੇ RShell ਮਾਲਵੇਅਰ ਬਾਰੇ ਵੇਰਵੇ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ। ਉਹਨਾਂ ਦੇ ਅਨੁਸਾਰ, RShell APT (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ) ਸਮੂਹ ਦੇ ਧਮਕੀ ਭਰੇ ਹਥਿਆਰਾਂ ਦਾ ਹਿੱਸਾ ਹੈ ਜਿਸਨੂੰ APT27 , ਲੱਕੀਮਾਊਸ, ਆਇਰਨ ਟਾਈਗਰ ਅਤੇ ਐਮਿਸਰੀ ਪਾਂਡਾ ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਇੱਕ ਦਹਾਕੇ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੋਂ ਸਰਗਰਮ ਹੈ ਅਤੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਕਾਰਵਾਈਆਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।

ਹੈਕਰਾਂ ਨੇ 'MìMì' ('mimi' - 秘秘 - 'ਗੁਪਤ') ਇਲੈਕਟ੍ਰੋਨ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਿਸਦਾ ਇਸ਼ਤਿਹਾਰ ਐਂਡਰਾਇਡ, ਆਈਓਐਸ, ਵਿੰਡੋਜ਼ ਅਤੇ ਮੈਕੋਸ ਪਲੇਟਫਾਰਮਾਂ ਲਈ ਉਪਲਬਧ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਲੀਨਕਸ ਸੰਸਕਰਣ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ, RShell ਮਾਲਵੇਅਰ ਨੂੰ ਵੀ ਪ੍ਰਦਾਨ ਕੀਤਾ। ਜਦੋਂ ਖਰਾਬ macOS MiMi ਸੰਸਕਰਣ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਪਹਿਲਾਂ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਵਾਤਾਵਰਣ ਜ਼ਰੂਰੀ ਮਾਪਦੰਡਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ - macOS (ਡਾਰਵਿਨ)। ਬਾਅਦ ਵਿੱਚ, ਇਹ ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਤੋਂ ਇੱਕ RShell ਪੇਲੋਡ ਲਿਆਏਗਾ, ਇਸਨੂੰ ਟੈਂਪ ਫੋਲਡਰ ਵਿੱਚ ਲਿਖੇਗਾ, ਇਸਨੂੰ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵੇਗਾ ਅਤੇ ਅੰਤ ਵਿੱਚ ਇਸਨੂੰ ਲਾਗੂ ਕਰੇਗਾ।

RShell ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਕਿ ਇਸ ਮਾਲਵੇਅਰ ਕਿਸਮ ਨਾਲ ਸੰਬੰਧਿਤ ਖਾਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨਾਲ ਲੈਸ ਇੱਕ ਬੈਕਡੋਰ ਖ਼ਤਰਾ ਹੈ। TrendMicro ਦੁਆਰਾ ਖੋਜੇ ਗਏ ਸਭ ਤੋਂ ਪੁਰਾਣੇ ਨਮੂਨੇ ਜੂਨ 2021 ਦੇ ਹਨ। RShell ਨੂੰ MacOS ਸਿਸਟਮਾਂ 'ਤੇ Mach-O ਫਾਰਮੈਟ ਅਤੇ Linux ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ELF ਵਿੱਚ ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਜਦੋਂ ਪੀੜਤ ਦੀ ਡਿਵਾਈਸ 'ਤੇ ਸਰਗਰਮ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਧਮਕੀ ਕੰਪਿਊਟਰ ਦਾ ਨਾਮ, IP ਪਤਾ, ਉਪਭੋਗਤਾ ਨਾਮ, ਸੰਸਕਰਣ, ਆਦਿ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੇਗੀ। ਸਾਰੇ ਕੱਟੇ ਗਏ ਡੇਟਾ ਨੂੰ ਇੱਕ ਬਾਈਨਰੀ JSON ਸੁਨੇਹੇ ਵਿੱਚ ਪੈਕ ਕੀਤਾ ਜਾਵੇਗਾ ਅਤੇ ਇੱਕ ਅਣਏਨਕ੍ਰਿਪਟਡ ਰੂਪ ਵਿੱਚ C2 ਸਰਵਰ ਨੂੰ ਸੰਚਾਰਿਤ ਕੀਤਾ ਜਾਵੇਗਾ। ਟੀ.ਸੀ.ਪੀ. APT ਧਮਕੀ ਐਕਟਰ RShell ਨੂੰ ਸ਼ੈੱਲ ਵਿੱਚ ਕਮਾਂਡਾਂ ਚਲਾਉਣ, ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨ, ਰੂਟ ਫਾਈਲ ਸਿਸਟਮ ਵਿੱਚ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਸੂਚੀ ਬਣਾਉਣ, ਨਿਰਧਾਰਤ ਫਾਈਲਾਂ ਵਿੱਚ ਡੇਟਾ ਲਿਖਣ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦੇ ਸਕਦੇ ਹਨ।