Škodlivý softvér RShell

Čínski kyberzločinci boli odhalení, že používajú zbraňovú verziu aplikácie messenger ako spôsob, ako nasadiť backdoor hrozbu s názvom RShell. Hrozba backdoor má verzie pre systémy Linux a macOS. Podrobnosti o útokoch a malvéri RShell boli zverejnené v správach bezpečnostných výskumníkov. Podľa nich je RShell súčasťou hrozivého arzenálu skupiny APT (Advanced Persistent Threat) sledovaného ako APT27 , LuckyMouse, IronTiger a Emissary Panda. Táto konkrétna skupina zaoberajúca sa počítačovou kriminalitou je aktívna už viac ako desať rokov a primárne sa zameriava na operácie kybernetickej špionáže.

Hackeri použili trojanizovanú verziu aplikácie „MìMì“ („mimi“ – 秘秘 – „tajná“) Electron, ktorá je inzerovaná ako dostupná pre platformy Android, iOS, Windows a macOS. Výskumníci odhalili verziu pre Linux, ktorá tiež prináša malvér RShell. Pri aktivácii poškodenej verzie macOS MiMi najskôr skontroluje, či prostredie zodpovedá potrebným parametrom – macOS (Darwin). Potom zo svojho servera Command-and-Control (C2, C&C) načíta obsah RShell, zapíše ho do dočasného priečinka, udelí mu povolenie na spustenie a nakoniec ho spustí.

Analýza RShell odhalila, že ide o backdoor hrozbu vybavenú typickými funkciami spojenými s týmto typom malvéru. Najskoršie vzorky objavené TrendMicro sú z júna 2021. RShell sa dodáva vo formáte Mach-O na systémoch macOS a ELF na platformách Linux. Po aktivácii na zariadení obete bude hrozba zhromažďovať rôzne systémové informácie vrátane názvu počítača, IP adresy, používateľského mena, verzie atď. TCP. Agenti hrozieb APT môžu inštruovať RShell, aby vykonával príkazy v prostredí shell, čítal súbory, vypisoval súbory a adresáre v koreňovom súborovom systéme, zapisoval údaje do špecifikovaných súborov a ďalšie.