RShell Malware richt zich op MacOS-gebruikers

RShell is de naam van een stukje malware dat wordt toegeschreven aan een Chinese geavanceerde persistente dreigingsactor die bekend staat onder verschillende aliassen, met name APT27 en LuckyMouse.

RShell werd ontdekt door een onderzoeksteam met SEKOIA en gekoppeld aan een Chinese taal-app genaamd MiMi, die sinds eind mei 2022 is "getrojaniseerd" en werd gebruikt om de RShell-malware te downloaden en te implementeren.

Volgens SEKOIA is dit de eerste keer dat LuckyMouse is gespot op MacOS-systemen. De MiMi-applicatieversies vanaf de update van 26 mei 2022 hebben een JavaScript-code aan het begin van hun module.exports-functie.

De JavaScript-code wordt gebruikt om te controleren of de omgeving MacOS is en als dat zo is, downloadt het script RShell vanaf een IP-adres dat is gekoppeld aan de C2-infrastructuur van de LuckyMouse APT.

Eenmaal uitgevoerd, probeert RShell contact te maken met zijn C2-server en stuurt het kernelinformatie, hostnaam, IP-adres en gebruikersnaam van het hostsysteem.

De RShell-malware accepteert een aantal opdrachten, waaronder het inventariseren van bestanden en mappen, het lezen van bestanden, het schrijven van gegevens naar bestanden en het verwijderen en sluiten van bestanden.

De koppelingen tussen LuckyMouse en RShell zijn de IP-bereiken die door beide worden gebruikt, evenals het feit dat LuckyMouse in het verleden trojanized en bewapende berichtentoepassingen heeft gebruikt, vergelijkbaar met de MiMi-berichtenapp.