RShell マルウェア

中国のサイバー犯罪者は、RShell という名前のバックドア脅威を展開する方法として、武器化されたバージョンのメッセンジャー アプリケーションを使用することが明らかになりました。バックドアの脅威には、Linux および macOS システム用のバージョンがあります。攻撃操作と RShell マルウェアに関する詳細は、セキュリティ研究者によるレポートで公開されました。彼らによると、RShell は、 APT27 、LuckyMouse、IronTiger、Emissary Panda として追跡されている APT (Advanced Persistent Threat) グループの脅威兵器の一部です。この特定のサイバー犯罪グループは 10 年以上活動しており、主にサイバー スパイ活動に焦点を当てています。

ハッカーは、Android、iOS、Windows、および macOS プラットフォームで利用できると宣伝されている「MìMì」(「ミミ」 - 秘秘 - 「秘密」) の電子メッセージング アプリケーションのトロイの木馬化されたバージョンを使用しました。研究者は、RShell マルウェアを配信する Linux バージョンも発見しました。破損した macOS MiMi バージョンがアクティブ化されると、最初に環境が必要なパラメーター (macOS (Darwin)) と一致するかどうかがチェックされます。その後、コマンド アンド コントロール (C2、C&C) サーバーから RShell ペイロードをフェッチし、一時フォルダーに書き込み、実行権限を付与して、最後に実行します。

RShell を分析したところ、このタイプのマルウェアに関連する典型的な機能を備えたバックドアの脅威であることが明らかになりました。 TrendMicro が発見した最初のサンプルは 2021 年 6 月のものです。RShell は、macOS システムでは Mach-O 形式で、Linux プラットフォームでは ELF 形式で提供されます。被害者のデバイスでアクティブ化されると、この脅威は、コンピューター名、IP アドレス、ユーザー名、バージョンなど、さまざまなシステム情報を収集します。収集されたすべてのデータはバイナリ JSON メッセージにパックされ、暗号化されていない形式で C2 サーバーに送信されます。 TCP。 APT攻撃者は、シェルでコマンドを実行する、ファイルを読み取る、ルートファイルシステム内のファイルとディレクトリを一覧表示する、指定したファイルにデータを書き込む、などをRShellに指示できます。