Шкідливе програмне забезпечення RShell

Було виявлено, що китайські кіберзлочинці використовували озброєну версію месенджера як спосіб розгортання бекдор-загрози під назвою RShell. Загроза бекдор має версії для систем Linux і macOS. Подробиці про операції атаки та шкідливе програмне забезпечення RShell були оприлюднені у звітах дослідників безпеки. За їх словами, RShell є частиною загрозливого арсеналу групи APT (Advanced Persistent Threat), яка відстежується як APT27 , LuckyMouse, IronTiger і Emissary Panda. Ця конкретна кіберзлочинна група діє вже більше десяти років і в основному зосереджена на операціях кібершпигунства.

Хакери використовували троянізовану версію програми обміну повідомленнями Electron «MìMì» («mimi» - 秘秘 – «секрет»), яка рекламується як доступна для платформ Android, iOS, Windows і macOS. Дослідники виявили версію Linux, яка також містить шкідливе програмне забезпечення RShell. Коли активується пошкоджена версія macOS MiMi, вона спочатку перевіряє, чи відповідає середовище необхідним параметрам - macOS (Darwin). Після цього він отримає корисне навантаження RShell зі свого сервера командування та керування (C2, C&C), запише його до тимчасової папки, надасть йому дозвіл на виконання та, нарешті, запустить його.

Аналіз RShell показав, що це бекдор-загроза, оснащена типовими функціями, пов’язаними з цим типом шкідливого програмного забезпечення. Найперші зразки, виявлені TrendMicro, датуються червнем 2021 року. RShell поставляється у форматі Mach-O на системах macOS і ELF на платформах Linux. Після активації на пристрої жертви загроза збиратиме різноманітну системну інформацію, включаючи ім’я комп’ютера, IP-адресу, ім’я користувача, версію тощо. Усі зібрані дані будуть упаковані в двійкове повідомлення JSON і передано на сервер C2 у незашифрованому вигляді через TCP. Актори загрози APT можуть наказувати RShell виконувати команди в оболонці, читати файли, перераховувати файли та каталоги в кореневій файловій системі, записувати дані у визначені файли тощо.