РСхелл малвер

Откривено је да кинески сајбер-криминалци користе наоружану верзију апликације за слање порука као начин за постављање бацкдоор претње под називом РСхелл. Бацкдоор претња има верзије за Линук и мацОС системе. Детаљи о операцијама напада и РСхелл малверу објављени су у извештајима истраживача безбедности. Према њиховим речима, РСхелл је део претећег арсенала АПТ (Адванцед Персистент Тхреат) групе праћене као АПТ27 , ЛуцкиМоусе, ИронТигер и Емиссари Панда. Ова конкретна група за сајбер криминал је активна више од једне деценије и првенствено је фокусирана на операције сајбер шпијунаже.

Хакери су користили тројанизовану верзију 'МиМи' ('мими' - 秘秘 – 'тајна') електронске апликације за размену порука која се рекламира као доступна за Андроид, иОС, Виндовс и мацОС платформе. Истраживачи су открили верзију Линука, која такође испоручује РСхелл малвер. Када се активира оштећена верзија мацОС МиМи, она прво проверава да ли окружење одговара неопходним параметрима - мацОС (Дарвин). Након тога ће преузети РСхелл корисни терет са свог сервера за команду и контролу (Ц2, Ц&Ц), записати га у привремену фасциклу, дати му дозволу за извршење и коначно га извршити.

Анализа РСхелл-а је открила да је то бацкдоор претња опремљена типичним карактеристикама повезаним са овим типом малвера. Најранији узорци које је открио ТрендМицро су од јуна 2021. РСхелл се испоручује у Мацх-О формату на мацОС системима и ЕЛФ на Линук платформама. Када се активира на уређају жртве, претња ће прикупити различите системске информације, укључујући име рачунара, ИП адресу, корисничко име, верзију итд. Сви прикупљени подаци ће бити спаковани у бинарну ЈСОН поруку и пренети на Ц2 сервер у нешифрованом облику преко ТЦП. Актери АПТ претњи могу да упуте РСхелл-у да извршава команде у љусци, чита датотеке, наводи датотеке и директоријуме у основном систему датотека, уписује податке у одређене датотеке и још много тога.