Вредоносное ПО RShell

Было обнаружено, что китайские киберпреступники используют вооруженную версию приложения для обмена сообщениями в качестве способа развертывания бэкдор-угрозы под названием RShell. У бэкдора есть версии для систем Linux и macOS. Подробности об атаках и вредоносном ПО RShell были опубликованы в отчетах исследователей безопасности. По их словам, RShell является частью угрожающего арсенала группы APT (Advanced Persistent Threat), отслеживаемой как APT27 , LuckyMouse, IronTiger и Emissary Panda. Эта конкретная группа киберпреступников действует уже более десяти лет и в основном занимается кибершпионажем.

Хакеры использовали троянскую версию приложения для обмена сообщениями Electron «MìMì» («mimi» — 秘秘 — «секрет»), которое рекламируется как доступное для платформ Android, iOS, Windows и macOS. Исследователи обнаружили версию для Linux, которая также содержала вредоносное ПО RShell. При активации поврежденной версии macOS MiMi сначала проверяется, соответствует ли среда необходимым параметрам — macOS (Darwin). После этого он получит полезную нагрузку RShell со своего сервера управления и контроля (C2, C&C), запишет ее во временную папку, предоставит разрешение на выполнение и, наконец, выполнит ее.

Анализ RShell показал, что это бэкдор-угроза, обладающая типичными функциями, присущими этому типу вредоносного ПО. Самые ранние образцы, обнаруженные TrendMicro, относятся к июню 2021 года. RShell поставляется в формате Mach-O для систем macOS и ELF для платформ Linux. При активации на устройстве жертвы угроза будет собирать различную системную информацию, включая имя компьютера, IP-адрес, имя пользователя, версию и т. д. Все собранные данные будут упакованы в бинарное JSON-сообщение и переданы на сервер C2 в незашифрованном виде через ПТС. Субъекты APT-угрозы могут указать RShell выполнять команды в оболочке, читать файлы, составлять список файлов и каталогов в корневой файловой системе, записывать данные в указанные файлы и выполнять другие действия.