RShell マルウェアが MacOS ユーザーを標的に

RShell は、APT27 や LuckyMouse などのいくつかのエイリアスで知られる中国の高度な持続型脅威アクターによるマルウェアの名前です。

RShell は SEKOIA の研究チームによって発見され、2022 年 5 月下旬から「トロイの木馬化」され、RShell マルウェアのダウンロードと展開に使用された MiMi と呼ばれる中国語アプリにリンクされていました。

SEKOIA によると、LuckyMouse が MacOS システムを標的として発見されたのはこれが初めてです。 2022 年 5 月 26 日の更新以降の MiMi アプリケーション バージョンでは、module.exports 関数の先頭に JavaScript コードが挿入されています。

コードの JavaScript チャンクは、環境が MacOS であるかどうかを確認するために使用され、MacOS である場合、スクリプトは LuckyMouse APT の C2 インフラストラクチャに関連付けられている IP アドレスから RShell をダウンロードします。

実行されると、RShell はその C2 サーバーに接続しようとし、ホスト システムのカーネル情報、ホスト名、IP アドレス、およびユーザー名を送信します。

RShell マルウェアは、ファイルとディレクトリの列挙、ファイルの読み取り、ファイルへのデータの書き込み、ファイルの削除とクローズなど、多数のコマンドを受け入れます。

LuckyMouse と RShell の間のリンクは、両方が使用する IP 範囲であり、LuckyMouse が MiMi メッセージング アプリと同様に、過去にトロイの木馬化および武器化されたメッセージング アプリケーションを使用したという事実です。