Вредоносное ПО RShell нацелено на пользователей MacOS

RShell — это название вредоносного ПО, приписываемого китайскому субъекту продвинутой постоянной угрозы, известному под несколькими псевдонимами, в первую очередь APT27 и LuckyMouse.

RShell был обнаружен исследовательской группой SEKOIA и связан с приложением на китайском языке под названием MiMi, которое было «троянизировано» с конца мая 2022 года и использовалось для загрузки и развертывания вредоносного ПО RShell.

Согласно SEKOIA, это первый случай, когда LuckyMouse была замечена в системах MacOS. Версии приложения MiMi, начиная с обновления от 26 мая 2022 года, имеют вставку кода JavaScript в начале своей функции module.exports.

Фрагмент кода JavaScript используется для проверки того, является ли среда MacOS, и если это так, сценарий загружает RShell с IP-адреса, связанного с инфраструктурой C2 APT LuckyMouse.

После выполнения RShell пытается связаться со своим сервером C2 и отправляет информацию о ядре, имя хоста, IP-адрес и имя пользователя хост-системы.

Вредоносное ПО RShell принимает ряд команд, включая перечисление файлов и каталогов, чтение файлов, запись данных в файлы, а также удаление и закрытие файлов.

Связями между LuckyMouse и RShell являются диапазоны IP-адресов, используемые обоими, а также тот факт, что LuckyMouse в прошлом использовала троянские и боевые приложения для обмена сообщениями, подобные приложению для обмена сообщениями MiMi.