„RShell“ kenkėjiška programa skirta „MacOS“ naudotojams

RShell yra kenkėjiškos programos, kuri priskiriama Kinijos pažangiam nuolatinės grėsmės veikėjui, žinomam keliais slapyvardžiais, ypač APT27 ir LuckyMouse, pavadinimas.

„RShell“ atrado tyrimų grupė su SEKOIA ir susiejo su kinų kalbos programa „MiMi“, kuri nuo 2022 m. gegužės pabaigos buvo „trojanizuota“ ir buvo naudojama RShell kenkėjiškai programai atsisiųsti ir įdiegti.

SEKOIA teigimu, tai pirmas kartas, kai „LuckyMouse“ buvo pastebėta, taikanti MacOS sistemas. „MiMi“ programos versijose, pradedant nuo 2022 m. gegužės 26 d. atnaujinimo, funkcijos module.exports pradžioje yra „JavaScript“ kodas.

„JavaScript“ kodo dalis naudojama patikrinti, ar aplinka yra „MacOS“, o jei taip, scenarijus atsisiunčia „RShell“ iš IP adreso, susieto su LuckyMouse APT C2 infrastruktūra.

Įvykdžius, RShell bando susisiekti su savo C2 serveriu ir siunčia informaciją apie branduolį, pagrindinio kompiuterio pavadinimą, IP adresą ir pagrindinės sistemos vartotojo vardą.

RShell kenkėjiška programa priima daugybę komandų, įskaitant failų ir katalogų išvardijimą, failų skaitymą, duomenų įrašymą į failus ir failų ištrynimą bei uždarymą.

Ryšiai tarp „LuckyMouse“ ir „RShell“ yra abiejų naudojami IP diapazonai, taip pat tai, kad „LuckyMouse“ praeityje naudojo trojaniškas ir ginkluotas pranešimų siuntimo programas, panašias į „MiMi“ pranešimų siuntimo programą.