RShell Malware
Natuklasan ang mga cybercriminal na Tsino na gumamit ng isang bersyon ng armas ng isang messenger application bilang isang paraan upang mag-deploy ng backdoor threat na pinangalanang RShell. Ang banta sa backdoor ay may mga bersyon para sa Linux at macOS system. Ang mga detalye tungkol sa mga operasyon ng pag-atake at ang RShell malware ay inilabas sa mga ulat ng mga mananaliksik sa seguridad. Ayon sa kanila, ang RShell ay bahagi ng nagbabantang arsenal ng grupong APT (Advanced Persistent Threat) na sinusubaybayan bilang APT27 , LuckyMouse, IronTiger at Emissary Panda. Ang partikular na pangkat ng cybercrime na ito ay naging aktibo sa loob ng mahigit isang dekada at pangunahing nakatuon sa mga operasyong cyber-espionage.
Gumamit ang mga hacker ng isang trojanized na bersyon ng 'MìMì' ('mimi' - 秘秘 – 'secret') Electron messaging application na ina-advertise bilang available para sa Android, iOS, Windows at macOS platform. Natuklasan ng mga mananaliksik ang isang bersyon ng Linux, na naghahatid din ng malware ng RShell. Kapag na-activate ang sira na bersyon ng macOS MiMi, sinusuri muna nito kung tumutugma ang kapaligiran sa mga kinakailangang parameter - macOS (Darwin). Pagkatapos, kukuha ito ng RShell payload mula sa Command-and-Control (C2, C&C) server nito, isusulat ito sa temp folder, bigyan ito ng pahintulot sa pagpapatupad at sa wakas ay isakatuparan ito.
Ang pagsusuri sa RShell ay nagsiwalat na ito ay isang banta sa backdoor na nilagyan ng mga tipikal na feature na nauugnay sa ganitong uri ng malware. Ang pinakamaagang mga sample na natuklasan ng TrendMicro ay mula Hunyo 2021. Ang RShell ay inihahatid sa Mach-O na format sa mga macOS system at ELF sa mga platform ng Linux. Kapag na-activate sa device ng biktima, ang banta ay mangongolekta ng iba't ibang impormasyon ng system, kabilang ang pangalan ng computer, IP address, username, bersyon, atbp. Ang lahat ng na-harvest na data ay ilalagay sa binary JSON na mensahe at ipapadala sa C2 server sa isang hindi naka-encrypt na form. TCP. Maaaring turuan ng mga aktor ng pagbabanta ng APT ang RShell na magsagawa ng mga utos sa shell, magbasa ng mga file, maglista ng mga file at direktoryo sa root filesystem, magsulat ng data sa mga tinukoy na file at higit pa.
