RShell మాల్వేర్

చైనీస్ సైబర్ నేరస్థులు RShell అనే బ్యాక్‌డోర్ థ్రెట్‌ను అమలు చేయడానికి ఒక మార్గంగా మెసెంజర్ అప్లికేషన్ యొక్క ఆయుధ వెర్షన్‌ను ఉపయోగించడాన్ని కనుగొన్నారు. బ్యాక్‌డోర్ ముప్పు Linux మరియు macOS సిస్టమ్‌ల కోసం సంస్కరణలను కలిగి ఉంది. దాడి కార్యకలాపాలు మరియు RShell మాల్వేర్ గురించిన వివరాలు భద్రతా పరిశోధకుల నివేదికలలో విడుదల చేయబడ్డాయి. వారి ప్రకారం, APT27 , లక్కీమౌస్, ఐరన్‌టైగర్ మరియు ఎమిసరీ పాండాగా ట్రాక్ చేయబడిన APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) సమూహం యొక్క బెదిరింపు ఆయుధశాలలో RShell భాగం. ఈ ప్రత్యేక సైబర్ క్రైమ్ గ్రూప్ ఒక దశాబ్దం పాటు క్రియాశీలంగా ఉంది మరియు ప్రధానంగా సైబర్-గూఢచర్య కార్యకలాపాలపై దృష్టి సారించింది.

హ్యాకర్లు 'MìMì' ('mimi' - 秘秘 – 'secret') యొక్క ట్రోజనైజ్డ్ వెర్షన్‌ను ఉపయోగించారు, ఇది Android, iOS, Windows మరియు macOS ప్లాట్‌ఫారమ్‌ల కోసం అందుబాటులో ఉన్నట్లు ప్రచారం చేయబడింది. పరిశోధకులు Linux సంస్కరణను కనుగొన్నారు, RShell మాల్వేర్‌ను కూడా పంపిణీ చేశారు. పాడైన macOS MiMi సంస్కరణ సక్రియం చేయబడినప్పుడు, పర్యావరణం అవసరమైన పారామితులతో సరిపోలుతుందో లేదో మొదట తనిఖీ చేస్తుంది - macOS (డార్విన్). తరువాత, ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్ నుండి ఒక RShell పేలోడ్‌ను పొందుతుంది, దానిని తాత్కాలిక ఫోల్డర్‌కు వ్రాసి, దానిని అమలు చేయడానికి అనుమతిని మంజూరు చేస్తుంది మరియు చివరకు దానిని అమలు చేస్తుంది.

RShell యొక్క విశ్లేషణ ఈ మాల్వేర్ రకంతో అనుబంధించబడిన సాధారణ లక్షణాలతో కూడిన బ్యాక్‌డోర్ ముప్పు అని వెల్లడించింది. TrendMicro ద్వారా కనుగొనబడిన తొలి నమూనాలు జూన్ 2021 నాటివి. RShell MacOS సిస్టమ్‌లలో Mach-O ఫార్మాట్‌లో మరియు Linux ప్లాట్‌ఫారమ్‌లలో ELFలో పంపిణీ చేయబడుతుంది. బాధితుడి పరికరంలో సక్రియం చేయబడినప్పుడు, ముప్పు కంప్యూటర్ పేరు, IP చిరునామా, వినియోగదారు పేరు, సంస్కరణ మొదలైన వాటితో సహా వివిధ సిస్టమ్ సమాచారాన్ని సేకరిస్తుంది. సేకరించిన మొత్తం డేటా బైనరీ JSON సందేశంలో ప్యాక్ చేయబడుతుంది మరియు C2 సర్వర్‌కు ఎన్‌క్రిప్ట్ చేయని రూపంలో ప్రసారం చేయబడుతుంది. TCP. APT బెదిరింపు నటులు షెల్‌లో ఆదేశాలను అమలు చేయడానికి, ఫైల్‌లను చదవడానికి, రూట్ ఫైల్‌సిస్టమ్‌లోని ఫైల్‌లు మరియు డైరెక్టరీలను జాబితా చేయడానికి, పేర్కొన్న ఫైల్‌లకు డేటాను వ్రాయడానికి మరియు మరిన్నింటిని RShellకు సూచించవచ్చు.