Złośliwe oprogramowanie RShell atakuje użytkowników MacOS

RShell to nazwa złośliwego oprogramowania przypisywanego chińskiemu zaawansowanemu, trwałemu podmiotowi działającemu na szkodę znanego pod kilkoma aliasami, w szczególności APT27 i LuckyMouse.

RShell został odkryty przez zespół badawczy z SEKOIA i połączony z aplikacją w języku chińskim o nazwie MiMi, która została „skojanizowana” od końca maja 2022 r. i była używana do pobierania i wdrażania złośliwego oprogramowania RShell.

Według SEKOIA jest to pierwszy raz, kiedy LuckyMouse został zauważony, gdy atakuje systemy MacOS. Wersje aplikacji MiMi począwszy od aktualizacji z 26 maja 2022 r. mają wstawkę kodu JavaScript na początku ich funkcji module.exports.

Fragment kodu JavaScript służy do sprawdzenia, czy środowisko to MacOS, a jeśli tak, skrypt pobiera RShell z adresu IP, który jest powiązany z infrastrukturą C2 LuckyMouse APT.

Po wykonaniu, RShell próbuje skontaktować się ze swoim serwerem C2 i wysyła informacje o jądrze, nazwę hosta, adres IP i nazwę użytkownika systemu hosta.

Złośliwe oprogramowanie RShell akceptuje szereg poleceń, które obejmują wyliczanie plików i katalogów, odczytywanie plików, zapisywanie danych do plików oraz usuwanie i zamykanie plików.

Powiązania między LuckyMouse i RShell to zakresy adresów IP używane przez oba, a także fakt, że LuckyMouse używał w przeszłości strojanizowanych i uzbrojonych aplikacji do przesyłania wiadomości, podobnie jak aplikacja do przesyłania wiadomości MiMi.