RShell Malware er rettet mod MacOS-brugere

RShell er navnet på et stykke malware, der tilskrives en kinesisk avanceret persistent trussel aktør kendt af flere aliaser, især APT27 og LuckyMouse.

RShell blev opdaget af et forskerhold med SEKOIA og knyttet til en kinesisk sprog-app kaldet MiMi, som er blevet "trojaniseret" siden slutningen af maj 2022 og blev brugt til at downloade og implementere RShell-malwaren.

Ifølge SEKOIA er det første gang, LuckyMouse er blevet set målrettet mod MacOS-systemer. MiMi-applikationsversionerne, der starter fra opdateringen dateret den 26. maj 2022, har en JavaScript-kodeindsættelse i starten af deres module.exports-funktion.

JavaScript-klumpen af kode bruges til at kontrollere, om miljøet er MacOS, og hvis det er, downloader scriptet RShell fra en IP-adresse, der er knyttet til C2-infrastrukturen i LuckyMouse APT.

Når den er udført, forsøger RShell at kontakte sin C2-server og sender kerneinfo, værtsnavn, IP-adresse og brugernavn på værtssystemet.

RShell-malwaren accepterer en række kommandoer, der inkluderer fil- og mappeopregning, læsning af filer, skrivning af data til filer og sletning og lukning af filer.

Forbindelserne mellem LuckyMouse og RShell er de IP-områder, der bruges af begge, såvel som det faktum, at LuckyMouse tidligere har brugt trojaniserede og våbenbaserede meddelelsesapplikationer, svarende til MiMi-meddelelsesappen.