RShell 惡意軟件
已發現中國網絡犯罪分子使用武器化版本的信使應用程序來部署名為 RShell 的後門威脅。後門威脅具有適用於 Linux 和 macOS 系統的版本。安全研究人員在報告中公佈了有關攻擊操作和 RShell 惡意軟件的詳細信息。據他們稱,RShell 是 APT(高級持續威脅)組的威脅武器庫的一部分,被跟踪為APT27 、LuckyMouse、IronTiger 和 Emissary Panda。這個特殊的網絡犯罪集團已經活躍了十多年,主要專注於網絡間諜活動。
黑客使用了“MìMì”(“mimi”- 秘秘-“秘密”)電子消息應用程序的木馬版本,該應用程序被宣傳為可用於 Android、iOS、Windows 和 macOS 平台。研究人員發現了一個 Linux 版本,它也提供了 RShell 惡意軟件。當損壞的 macOS MiMi 版本被激活時,它首先檢查環境是否匹配必要的參數 - macOS (Darwin)。之後,它將從其命令和控制(C2、C&C)服務器獲取 RShell 有效負載,將其寫入臨時文件夾,授予其執行權限並最終執行它。
對 RShell 的分析表明,這是一種後門威脅,具有與這種惡意軟件類型相關的典型特徵。 TrendMicro 發現的最早樣本來自 2021 年 6 月。RShell 在 macOS 系統上以 Mach-O 格式交付,在 Linux 平台上以 ELF 格式交付。當在受害者的設備上激活時,威脅將收集各種系統信息,包括計算機名稱、IP 地址、用戶名、版本等。所有收集到的數據將被打包成二進制 JSON 消息,並以未加密的形式通過網絡傳輸到 C2 服務器TCP。 APT 威脅參與者可以指示 RShell 在 shell 中執行命令、讀取文件、列出根文件系統中的文件和目錄、將數據寫入指定文件等等。
