Zlonamerna programska oprema RShell

Odkrili so, da kitajski kibernetski kriminalci uporabljajo oboroženo različico aplikacije za sporočanje kot način za uvedbo grožnje zakulisja, imenovane RShell. Stranska grožnja ima različice za sisteme Linux in macOS. Podrobnosti o operacijah napada in zlonamerni programski opremi RShell so bile objavljene v poročilih varnostnih raziskovalcev. Po njihovem mnenju je RShell del nevarnega arzenala skupine APT (Advanced Persistent Threat), ki jo spremljajo kot APT27 , LuckyMouse, IronTiger in Emissary Panda. Ta posebna kibernetska kriminalna skupina je aktivna že več kot desetletje in je osredotočena predvsem na operacije kibernetskega vohunjenja.

Hekerji so uporabili trojansko različico aplikacije za sporočanje Electron 'MìMì' ('mimi' - 秘秘 – 'secret'), ki je oglaševana kot na voljo za platforme Android, iOS, Windows in macOS. Raziskovalci so odkrili različico Linuxa, ki prinaša tudi zlonamerno programsko opremo RShell. Ko je poškodovana različica macOS MiMi aktivirana, najprej preveri, ali okolje ustreza zahtevanim parametrom - macOS (Darwin). Nato bo pridobil koristni tovor RShell iz svojega strežnika Command-and-Control (C2, C&C), ga zapisal v začasno mapo, mu podelil dovoljenje za izvajanje in ga končno izvedel.

Analiza RShell je pokazala, da gre za stransko grožnjo, opremljeno s tipičnimi funkcijami, povezanimi s to vrsto zlonamerne programske opreme. Najzgodnejši vzorci, ki jih je odkril TrendMicro, so iz junija 2021. RShell je na voljo v formatu Mach-O v sistemih macOS in ELF na platformah Linux. Ko je grožnja aktivirana na napravi žrtve, bo zbrala različne sistemske informacije, vključno z imenom računalnika, naslovom IP, uporabniškim imenom, različico itd. Vsi zbrani podatki bodo zapakirani v binarno sporočilo JSON in poslani na strežnik C2 v nešifrirani obliki prek TCP. Akterji groženj APT lahko ukazajo RShellu, naj izvaja ukaze v lupini, bere datoteke, izpiše seznam datotek in imenikov v korenskem datotečnem sistemu, zapiše podatke v določene datoteke in drugo.