Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Backdoors Phần mềm độc hại RShell

Phần mềm độc hại RShell

Đến năm Mezo năm Backdoors
Dịch sang:
Tiếng Việt Nam

Tội phạm mạng Trung Quốc đã bị phát hiện sử dụng phiên bản vũ khí hóa của ứng dụng nhắn tin như một cách để triển khai mối đe dọa cửa hậu có tên RShell. Mối đe dọa cửa hậu có các phiên bản dành cho hệ thống Linux và macOS. Thông tin chi tiết về các hoạt động tấn công và phần mềm độc hại RShell đã được các nhà nghiên cứu bảo mật công bố trong các báo cáo. Theo họ, RShell là một phần của kho vũ khí đe dọa của nhóm APT (Mối đe dọa liên tục nâng cao) được theo dõi như APT27 , LuckyMouse, IronTiger và Emissary Panda. Nhóm tội phạm mạng đặc biệt này đã hoạt động trong hơn một thập kỷ và chủ yếu tập trung vào các hoạt động gián điệp mạng.

Các tin tặc đã sử dụng phiên bản trojanized của ứng dụng nhắn tin Electron 'MìMì' ('mimi' - 秘 秘 - 'secret') được quảng cáo là có sẵn cho các nền tảng Android, iOS, Windows và macOS. Các nhà nghiên cứu đã phát hiện ra một phiên bản Linux, cũng chứa phần mềm độc hại RShell. Khi phiên bản macOS MiMi bị hỏng được kích hoạt, trước tiên nó sẽ kiểm tra xem môi trường có khớp với các thông số cần thiết hay không - macOS (Darwin). Sau đó, nó sẽ tìm nạp một tải trọng RShell từ máy chủ Command-and-Control (C2, C&C), ghi nó vào thư mục tạm thời, cấp cho nó quyền thực thi và cuối cùng là thực thi nó.

Phân tích của RShell đã tiết lộ rằng đó là một mối đe dọa cửa hậu được trang bị các tính năng điển hình liên quan đến loại phần mềm độc hại này. Các mẫu sớm nhất được phát hiện bởi TrendMicro là từ tháng 6 năm 2021. RShell được phân phối ở định dạng Mach-O trên hệ thống macOS và ELF trên nền tảng Linux. Khi được kích hoạt trên thiết bị của nạn nhân, mối đe dọa sẽ thu thập nhiều thông tin hệ thống khác nhau, bao gồm tên máy tính, địa chỉ IP, tên người dùng, phiên bản, v.v. Tất cả dữ liệu thu thập được sẽ được đóng gói thành một thông điệp JSON nhị phân và được truyền đến máy chủ C2 ở dạng không được mã hóa. TCP. Các tác nhân của mối đe dọa APT có thể hướng dẫn RShell thực hiện các lệnh trong shell, đọc tệp, liệt kê các tệp và thư mục trong hệ thống tệp gốc, ghi dữ liệu vào các tệp được chỉ định và hơn thế nữa.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...