RShell 恶意软件
已发现中国网络犯罪分子使用武器化版本的信使应用程序来部署名为 RShell 的后门威胁。后门威胁具有适用于 Linux 和 macOS 系统的版本。安全研究人员在报告中公布了有关攻击操作和 RShell 恶意软件的详细信息。据他们称,RShell 是 APT(高级持续威胁)组的威胁武器库的一部分,被跟踪为APT27 、LuckyMouse、IronTiger 和 Emissary Panda。这个特殊的网络犯罪集团已经活跃了十多年,主要专注于网络间谍活动。
黑客使用了“MìMì”(“mimi” - 秘秘 - 'secret')电子消息应用程序的特洛伊木马版本,该应用程序被宣传为可用于 Android、iOS、Windows 和 macOS 平台。研究人员发现了一个 Linux 版本,它也提供了 RShell 恶意软件。当损坏的 macOS MiMi 版本被激活时,它首先检查环境是否匹配必要的参数 - macOS (Darwin)。之后,它将从其命令和控制(C2、C&C)服务器获取 RShell 有效负载,将其写入临时文件夹,授予其执行权限并最终执行它。
对 RShell 的分析表明,这是一种后门威胁,具有与这种恶意软件类型相关的典型特征。 TrendMicro 发现的最早样本是 2021 年 6 月。RShell 在 macOS 系统上以 Mach-O 格式交付,在 Linux 平台上以 ELF 格式交付。当在受害者的设备上激活时,威胁将收集各种系统信息,包括计算机名称、IP 地址、用户名、版本等。所有收集到的数据将被打包成二进制 JSON 消息,并以未加密的形式通过网络传输到 C2 服务器TCP。 APT 威胁参与者可以指示 RShell 在 shell 中执行命令、读取文件、列出根文件系统中的文件和目录、将数据写入指定文件等等。
