ஆர்ஷெல் மால்வேர்

சீன சைபர் கிரைமினல்கள், RShell எனப்படும் பின்கதவு அச்சுறுத்தலைப் பயன்படுத்துவதற்கான ஒரு வழியாக மெசஞ்சர் பயன்பாட்டின் ஆயுதமேந்திய பதிப்பைப் பயன்படுத்துவதைக் கண்டுபிடித்துள்ளனர். பின்கதவு அச்சுறுத்தலில் Linux மற்றும் macOS அமைப்புகளுக்கான பதிப்புகள் உள்ளன. தாக்குதல் நடவடிக்கைகள் மற்றும் RShell மால்வேர் பற்றிய விவரங்கள் பாதுகாப்பு ஆய்வாளர்களின் அறிக்கைகளில் வெளியிடப்பட்டன. அவர்களின் கருத்துப்படி, APT27 , LuckyMouse, IronTiger மற்றும் Emissary Panda என கண்காணிக்கப்படும் APT (மேம்பட்ட பெர்சிஸ்டண்ட் த்ரெட்) குழுவின் அச்சுறுத்தும் ஆயுதக் களஞ்சியத்தின் ஒரு பகுதியாக RShell உள்ளது. இந்த குறிப்பிட்ட சைபர் கிரைம் குழு ஒரு தசாப்தத்திற்கும் மேலாக செயலில் உள்ளது மற்றும் முதன்மையாக சைபர்-உளவு நடவடிக்கைகளில் கவனம் செலுத்துகிறது.

ஹேக்கர்கள் 'MìMì' ('mimi' - 秘秘 – 'secret') இன் ட்ரோஜனேற்றப்பட்ட பதிப்பைப் பயன்படுத்தினர், இது ஆண்ட்ராய்டு, iOS, Windows மற்றும் macOS இயங்குதளங்களில் கிடைக்கும் என விளம்பரப்படுத்தப்பட்டது. ஆராய்ச்சியாளர்கள் லினக்ஸ் பதிப்பைக் கண்டுபிடித்தனர், மேலும் RShell தீம்பொருளையும் வழங்கினர். சிதைந்த MacOS MiMi பதிப்பு செயல்படுத்தப்படும்போது, சூழல் தேவையான அளவுருக்களுடன் பொருந்துகிறதா என்பதை முதலில் சரிபார்க்கிறது - macOS (டார்வின்). பின்னர், அது அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்திலிருந்து ஒரு RShell பேலோடைப் பெற்று, அதை தற்காலிக கோப்புறையில் எழுதி, அதை செயல்படுத்துவதற்கான அனுமதியை வழங்கி இறுதியாக அதை இயக்கும்.

இந்த மால்வேர் வகையுடன் தொடர்புடைய பொதுவான அம்சங்களுடன் கூடிய பின்கதவு அச்சுறுத்தல் என்று RShell இன் பகுப்பாய்வு வெளிப்படுத்தியுள்ளது. TrendMicro ஆல் கண்டுபிடிக்கப்பட்ட முந்தைய மாதிரிகள் ஜூன் 2021 முதல். MacOS கணினிகளில் Mach-O வடிவத்திலும் Linux இயங்குதளங்களில் ELF இல் RShell வழங்கப்படுகிறது. பாதிக்கப்பட்டவரின் சாதனத்தில் செயல்படுத்தப்படும் போது, அச்சுறுத்தல் கணினியின் பெயர், ஐபி முகவரி, பயனர் பெயர், பதிப்பு போன்ற பல்வேறு கணினித் தகவல்களைச் சேகரிக்கும். சேகரிக்கப்பட்ட அனைத்து தரவுகளும் பைனரி JSON செய்தியில் பேக் செய்யப்பட்டு, மறைகுறியாக்கப்பட்ட வடிவத்தில் C2 சேவையகத்திற்கு அனுப்பப்படும். டிசிபி. APT அச்சுறுத்தல் நடிகர்கள் ஷெல்லில் கட்டளைகளை இயக்கவும், கோப்புகளைப் படிக்கவும், ரூட் கோப்பு அமைப்பில் உள்ள கோப்புகள் மற்றும் கோப்பகங்களை பட்டியலிடவும், குறிப்பிட்ட கோப்புகளுக்கு தரவை எழுதவும் மற்றும் பலவற்றை செய்யவும் RShell க்கு அறிவுறுத்தலாம்.