RShell మాల్వేర్
చైనీస్ సైబర్ నేరస్థులు RShell అనే బ్యాక్డోర్ థ్రెట్ను అమలు చేయడానికి ఒక మార్గంగా మెసెంజర్ అప్లికేషన్ యొక్క ఆయుధ వెర్షన్ను ఉపయోగించడాన్ని కనుగొన్నారు. బ్యాక్డోర్ ముప్పు Linux మరియు macOS సిస్టమ్ల కోసం సంస్కరణలను కలిగి ఉంది. దాడి కార్యకలాపాలు మరియు RShell మాల్వేర్ గురించిన వివరాలు భద్రతా పరిశోధకుల నివేదికలలో విడుదల చేయబడ్డాయి. వారి ప్రకారం, APT27 , లక్కీమౌస్, ఐరన్టైగర్ మరియు ఎమిసరీ పాండాగా ట్రాక్ చేయబడిన APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) సమూహం యొక్క బెదిరింపు ఆయుధశాలలో RShell భాగం. ఈ ప్రత్యేక సైబర్ క్రైమ్ గ్రూప్ ఒక దశాబ్దం పాటు క్రియాశీలంగా ఉంది మరియు ప్రధానంగా సైబర్-గూఢచర్య కార్యకలాపాలపై దృష్టి సారించింది.
హ్యాకర్లు 'MìMì' ('mimi' - 秘秘 – 'secret') యొక్క ట్రోజనైజ్డ్ వెర్షన్ను ఉపయోగించారు, ఇది Android, iOS, Windows మరియు macOS ప్లాట్ఫారమ్ల కోసం అందుబాటులో ఉన్నట్లు ప్రచారం చేయబడింది. పరిశోధకులు Linux సంస్కరణను కనుగొన్నారు, RShell మాల్వేర్ను కూడా పంపిణీ చేశారు. పాడైన macOS MiMi సంస్కరణ సక్రియం చేయబడినప్పుడు, పర్యావరణం అవసరమైన పారామితులతో సరిపోలుతుందో లేదో మొదట తనిఖీ చేస్తుంది - macOS (డార్విన్). తరువాత, ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్ నుండి ఒక RShell పేలోడ్ను పొందుతుంది, దానిని తాత్కాలిక ఫోల్డర్కు వ్రాసి, దానిని అమలు చేయడానికి అనుమతిని మంజూరు చేస్తుంది మరియు చివరకు దానిని అమలు చేస్తుంది.
RShell యొక్క విశ్లేషణ ఈ మాల్వేర్ రకంతో అనుబంధించబడిన సాధారణ లక్షణాలతో కూడిన బ్యాక్డోర్ ముప్పు అని వెల్లడించింది. TrendMicro ద్వారా కనుగొనబడిన తొలి నమూనాలు జూన్ 2021 నాటివి. RShell MacOS సిస్టమ్లలో Mach-O ఫార్మాట్లో మరియు Linux ప్లాట్ఫారమ్లలో ELFలో పంపిణీ చేయబడుతుంది. బాధితుడి పరికరంలో సక్రియం చేయబడినప్పుడు, ముప్పు కంప్యూటర్ పేరు, IP చిరునామా, వినియోగదారు పేరు, సంస్కరణ మొదలైన వాటితో సహా వివిధ సిస్టమ్ సమాచారాన్ని సేకరిస్తుంది. సేకరించిన మొత్తం డేటా బైనరీ JSON సందేశంలో ప్యాక్ చేయబడుతుంది మరియు C2 సర్వర్కు ఎన్క్రిప్ట్ చేయని రూపంలో ప్రసారం చేయబడుతుంది. TCP. APT బెదిరింపు నటులు షెల్లో ఆదేశాలను అమలు చేయడానికి, ఫైల్లను చదవడానికి, రూట్ ఫైల్సిస్టమ్లోని ఫైల్లు మరియు డైరెక్టరీలను జాబితా చేయడానికి, పేర్కొన్న ఫైల్లకు డేటాను వ్రాయడానికి మరియు మరిన్నింటిని RShellకు సూచించవచ్చు.