RShell Malware

Infractorii cibernetici chinezi au fost descoperiți pentru a folosi o versiune cu arme a unei aplicații de mesagerie ca o modalitate de a implementa o amenințare de tip backdoor numită RShell. Amenințarea backdoor are versiuni pentru sistemele Linux și macOS. Detalii despre operațiunile de atac și malware-ul RShell au fost publicate în rapoartele cercetătorilor de securitate. Potrivit acestora, RShell face parte din arsenalul amenințător al grupului APT (Advanced Persistent Threat) urmărit ca APT27 , LuckyMouse, IronTiger și Emissary Panda. Acest grup special de criminalitate cibernetică este activ de peste un deceniu și se concentrează în primul rând pe operațiunile de spionaj cibernetic.

Hackerii au folosit o versiune troianizată a aplicației de mesagerie Electron „MìMì” („mimi” - 秘秘 – „secretă”), care este anunțată ca fiind disponibilă pentru platformele Android, iOS, Windows și macOS. Cercetătorii au descoperit o versiune Linux, oferind și programul malware RShell. Când versiunea coruptă de macOS MiMi este activată, mai întâi verifică dacă mediul corespunde parametrilor necesari - macOS (Darwin). După aceea, va prelua o sarcină utilă RShell de pe serverul său de comandă și control (C2, C&C), o va scrie în folderul temp, îi va acorda permisiunea de execuție și, în final, o va executa.

Analiza RShell a arătat că este o amenințare backdoor echipată cu caracteristicile tipice asociate cu acest tip de malware. Cele mai vechi mostre descoperite de TrendMicro sunt din iunie 2021. RShell este livrat în format Mach-O pe sistemele macOS și ELF pe platformele Linux. Când este activată pe dispozitivul victimei, amenințarea va colecta diverse informații de sistem, inclusiv numele computerului, adresa IP, numele de utilizator, versiunea etc. Toate datele culese vor fi împachetate într-un mesaj JSON binar și transmise serverului C2 într-o formă necriptată prin TCP. Actorii amenințărilor APT îi pot instrui pe RShell să execute comenzi în shell, să citească fișiere, să listeze fișierele și directoarele din sistemul de fișiere rădăcină, să scrie date în fișierele specificate și multe altele.