RShell skadlig programvara

Kinesiska cyberbrottslingar har avslöjats för att använda en beväpnad version av en messenger-applikation som ett sätt att distribuera ett bakdörrshot vid namn RShell. Bakdörrshotet har versioner för Linux- och macOS-system. Detaljer om attackoperationerna och skadlig programvara RShell släpptes i rapporter från säkerhetsforskare. Enligt dem är RShell en del av den hotfulla arsenalen av APT-gruppen (Advanced Persistent Threat) som spåras som APT27 , LuckyMouse, IronTiger och Emissary Panda. Denna speciella cyberbrottsgrupp har varit aktiv i över ett decennium och är främst inriktad på cyberspionage.

Hackarna använde en trojaniserad version av 'MìMì' ('mimi' - 秘秘 – 'hemlig') Electron messaging-applikation som annonseras som tillgänglig för Android, iOS, Windows och macOS-plattformar. Forskarna upptäckte en Linux-version som också levererade RShell-skadlig programvara. När den skadade macOS MiMi-versionen är aktiverad kontrollerar den först om miljön matchar de nödvändiga parametrarna - macOS (Darwin). Efteråt kommer den att hämta en RShell-nyttolast från sin Command-and-Control-server (C2, C&C), skriva den till den tillfälliga mappen, ge den körrättigheter och slutligen exekvera den.

Analyser av RShell har avslöjat att det är ett bakdörrshot som är utrustat med de typiska funktionerna för denna typ av skadlig kod. De tidigaste exemplen som upptäckts av TrendMicro är från juni 2021. RShell levereras i Mach-O-formatet på macOS-system och ELF på Linux-plattformar. När det aktiveras på offrets enhet kommer hotet att samla in olika systeminformation, inklusive datornamn, IP-adress, användarnamn, version etc. All insamlad data kommer att packas in i ett binärt JSON-meddelande och överföras till C2-servern i okrypterad form över TCP. APT-hotaktörerna kan instruera RShell att utföra kommandon i skalet, läsa filer, lista filerna och katalogerna i rotfilsystemet, skriva data till specificerade filer och mer.