Το κακόβουλο λογισμικό RSShell στοχεύει χρήστες MacOS

Το RShell είναι το όνομα ενός κομματιού κακόβουλου λογισμικού που αποδίδεται σε έναν κινεζικό προηγμένο παράγοντα επίμονης απειλής, γνωστό με πολλά ψευδώνυμα, κυρίως το APT27 και το LuckyMouse.

Το RShell ανακαλύφθηκε από μια ερευνητική ομάδα με το SEKOIA και συνδέθηκε με μια εφαρμογή κινεζικής γλώσσας που ονομάζεται MiMi, η οποία έχει «τροϊκανοποιηθεί» από τα τέλη Μαΐου 2022 και χρησιμοποιήθηκε για τη λήψη και την ανάπτυξη του κακόβουλου λογισμικού RShell.

Σύμφωνα με το SEKOIA, αυτή είναι η πρώτη φορά που το LuckyMouse έχει εντοπιστεί να στοχεύει συστήματα MacOS. Οι εκδόσεις της εφαρμογής MiMi που ξεκινούν από την ενημέρωση με ημερομηνία 26 Μαΐου 2022 έχουν ένθετο κώδικα JavaScript στην αρχή της λειτουργίας module.exports.

Το κομμάτι κώδικα JavaScript χρησιμοποιείται για να ελέγξει εάν το περιβάλλον είναι MacOS και αν είναι, το σενάριο πραγματοποιεί λήψη του RShell από μια διεύθυνση IP που σχετίζεται με την υποδομή C2 του LuckyMouse APT.

Μόλις εκτελεστεί, το RShell επιχειρεί να επικοινωνήσει με τον διακομιστή C2 και στέλνει πληροφορίες πυρήνα, όνομα κεντρικού υπολογιστή, διεύθυνση IP και όνομα χρήστη του συστήματος υποδοχής.

Το κακόβουλο λογισμικό RShell δέχεται έναν αριθμό εντολών που περιλαμβάνουν απαρίθμηση αρχείων και καταλόγου, ανάγνωση αρχείων, εγγραφή δεδομένων σε αρχεία και διαγραφή και κλείσιμο αρχείων.

Οι σύνδεσμοι μεταξύ LuckyMouse και RShell είναι οι σειρές IP που χρησιμοποιούν και οι δύο, καθώς και το γεγονός ότι το LuckyMouse έχει χρησιμοποιήσει trojanized και οπλισμένες εφαρμογές ανταλλαγής μηνυμάτων στο παρελθόν, παρόμοια με την εφαρμογή ανταλλαγής μηνυμάτων MiMi.