Złośliwe oprogramowanie RShell

Chińscy cyberprzestępcy zostali wykryci, że wykorzystują uzbrojoną wersję aplikacji komunikatora jako sposób na wdrożenie zagrożenia typu backdoor o nazwie RShell. Zagrożenie typu backdoor ma wersje dla systemów Linux i macOS. Szczegóły dotyczące operacji ataku i złośliwego oprogramowania RShell zostały opublikowane w raportach badaczy bezpieczeństwa. Według nich RShell jest częścią groźnego arsenału grupy APT (Advanced Persistent Threat) śledzonej jako APT27 , LuckyMouse, IronTiger i Emissary Panda. Ta konkretna grupa cyberprzestępcza działa od ponad dekady i koncentruje się głównie na operacjach cyberszpiegowskich.

Hakerzy wykorzystali strojanizowaną wersję komunikatora Electron, który jest reklamowany jako dostępny na platformy Android, iOS, Windows i macOS. Badacze odkryli wersję Linuksa, dostarczającą również szkodliwe oprogramowanie RShell. Gdy uszkodzona wersja macOS MiMi jest aktywowana, najpierw sprawdza, czy środowisko pasuje do niezbędnych parametrów - macOS (Darwin). Następnie pobierze ładunek RShell ze swojego serwera Command-and-Control (C2, C&C), zapisze go w folderze temp, przyzna mu uprawnienia do wykonania i ostatecznie wykona.

Analiza RShell wykazała, że jest to zagrożenie typu backdoor wyposażone w typowe funkcje związane z tym typem złośliwego oprogramowania. Najwcześniejsze próbki odkryte przez TrendMicro pochodzą z czerwca 2021 r. RShell jest dostarczany w formacie Mach-O na systemach macOS i ELF na platformach Linux. Po aktywacji na urządzeniu ofiary zagrożenie będzie zbierać różne informacje systemowe, w tym nazwę komputera, adres IP, nazwę użytkownika, wersję itp. Wszystkie zebrane dane zostaną spakowane do binarnej wiadomości JSON i przesłane do serwera C2 w formie niezaszyfrowanej. TCP. Zagrożenia APT mogą poinstruować program RShell, aby wykonywał polecenia w powłoce, odczytywał pliki, wyświetlał listę plików i katalogów w głównym systemie plików, zapisywał dane w określonych plikach i nie tylko.