มัลแวร์ RShell

อาชญากรไซเบอร์จีนถูกเปิดเผยให้ใช้แอปพลิเคชั่น Messenger เวอร์ชันติดอาวุธเพื่อปรับใช้ภัยคุกคามลับๆ ชื่อ RShell ภัยคุกคามลับๆ มีเวอร์ชันสำหรับระบบ Linux และ macOS รายละเอียดเกี่ยวกับการดำเนินการโจมตีและมัลแวร์ RShell ได้รับการเปิดเผยในรายงานโดยนักวิจัยด้านความปลอดภัย ตามที่พวกเขากล่าว RShell เป็นส่วนหนึ่งของคลังแสงที่คุกคามของกลุ่ม APT (Advanced Persistent Threat) ซึ่งถูกติดตามในชื่อ APT27 , LuckyMouse, IronTiger และ Emissary Panda กลุ่มอาชญากรไซเบอร์กลุ่มนี้มีบทบาทมากว่าทศวรรษและเน้นที่ปฏิบัติการจารกรรมทางไซเบอร์เป็นหลัก

แฮกเกอร์ใช้เวอร์ชันโทรจันของ 'MìMì' ('mimi' - 秘秘 – 'secret') แอปพลิเคชั่นส่งข้อความอิเล็กตรอนที่โฆษณาว่าพร้อมใช้งานสำหรับแพลตฟอร์ม Android, iOS, Windows และ macOS นักวิจัยได้ค้นพบเวอร์ชัน Linux ซึ่งส่งมัลแวร์ RShell ด้วย เมื่อเปิดใช้งานเวอร์ชัน macOS MiMi ที่เสียหาย อันดับแรกจะตรวจสอบว่าสภาพแวดล้อมตรงกับพารามิเตอร์ที่จำเป็นหรือไม่ - macOS (ดาร์วิน) หลังจากนั้น มันจะดึงข้อมูลเพย์โหลด RShell จากเซิร์ฟเวอร์ Command-and-Control (C2, C&C) เขียนลงในโฟลเดอร์ temp ให้สิทธิ์ในการดำเนินการ และในที่สุดก็ดำเนินการได้

การวิเคราะห์ RShell ได้เปิดเผยว่าเป็นภัยคุกคามลับๆ ที่มาพร้อมกับคุณสมบัติทั่วไปที่เกี่ยวข้องกับมัลแวร์ประเภทนี้ ตัวอย่างแรกสุดที่ TrendMicro ค้นพบคือตั้งแต่มิถุนายน 2564 RShell จัดส่งในรูปแบบ Mach-O บนระบบ macOS และ ELF บนแพลตฟอร์ม Linux เมื่อเปิดใช้งานบนอุปกรณ์ของเหยื่อ ภัยคุกคามจะรวบรวมข้อมูลระบบต่างๆ รวมถึงชื่อคอมพิวเตอร์ ที่อยู่ IP ชื่อผู้ใช้ เวอร์ชัน ฯลฯ ข้อมูลที่รวบรวมทั้งหมดจะถูกบรรจุลงในข้อความไบนารี JSON และส่งไปยังเซิร์ฟเวอร์ C2 ในรูปแบบที่ไม่ได้เข้ารหัส ทีซีพี ผู้คุกคาม APT สามารถสั่งให้ RShell รันคำสั่งในเชลล์ อ่านไฟล์ แสดงรายการไฟล์และไดเร็กทอรีในระบบไฟล์รูท เขียนข้อมูลไปยังไฟล์ที่ระบุ และอื่นๆ