RShell Kötü Amaçlı Yazılımı

Çinli siber suçluların, RShell adlı bir arka kapı tehdidini dağıtmanın bir yolu olarak bir mesajlaşma uygulamasının silahlı bir sürümünü kullandıkları ortaya çıktı. Arka kapı tehdidinin Linux ve macOS sistemleri için sürümleri vardır. Saldırı operasyonları ve RShell kötü amaçlı yazılımıyla ilgili ayrıntılar, güvenlik araştırmacıları tarafından raporlarda yayınlandı. Onlara göre RShell, APT27 , LuckyMouse, IronTiger ve Emissary Panda olarak izlenen APT (Advanced Persistent Threat) grubunun tehditkar cephaneliğinin bir parçası. Bu özel siber suç grubu, on yılı aşkın bir süredir aktiftir ve öncelikle siber casusluk operasyonlarına odaklanmıştır.

Bilgisayar korsanları, Android, iOS, Windows ve macOS platformları için reklamı yapılan 'MìMì' ('mimi' - 秘秘 – 'gizli') Elektron mesajlaşma uygulamasının truva atlı bir sürümünü kullandılar. Araştırmacılar, RShell kötü amaçlı yazılımını da sunan bir Linux sürümünü ortaya çıkardılar. Bozuk macOS MiMi sürümü etkinleştirildiğinde, önce ortamın gerekli parametrelerle - macOS (Darwin) eşleşip eşleşmediğini kontrol eder. Daha sonra, Komuta ve Kontrol (C2, C&C) sunucusundan bir RShell yükü alacak, bunu geçici klasöre yazacak, yürütme izni verecek ve son olarak yürütecektir.

RShell analizi, bunun, bu kötü amaçlı yazılım türüyle ilişkili tipik özelliklerle donatılmış bir arka kapı tehdidi olduğunu ortaya çıkardı. TrendMicro tarafından keşfedilen en eski örnekler Haziran 2021'e aittir. RShell, macOS sistemlerinde Mach-O biçiminde ve Linux platformlarında ELF biçiminde sunulur. Kurbanın cihazında etkinleştirildiğinde, tehdit bilgisayar adı, IP adresi, kullanıcı adı, sürüm vb. dahil olmak üzere çeşitli sistem bilgilerini toplayacaktır. Toplanan tüm veriler ikili bir JSON mesajına paketlenecek ve şifrelenmemiş bir biçimde C2 sunucusuna iletilecektir. TCP. APT tehdit aktörleri, RShell'e kabuktaki komutları yürütmesi, dosyaları okuması, kök dosya sistemindeki dosya ve dizinleri listelemesi, belirtilen dosyalara veri yazması ve daha fazlası için talimat verebilir.