RShell 恶意软件针对 MacOS 用户

RShell 是一种恶意软件的名称，它归因于一个中国高级持续威胁攻击者，该攻击者有多个别名，最著名的是 APT27 和 LuckyMouse。

RShell 是由 SEKOIA 的一个研究团队发现的，并与一款名为 MiMi 的中文应用程序相关联，该应用程序自 2022 年 5 月下旬以来已被“木马化”，并被用于下载和部署 RShell 恶意软件。

根据 SEKOIA 的说法，这是 LuckyMouse 第一次被发现针对 MacOS 系统。从 2022 年 5 月 26 日更新开始的 MiMi 应用程序版本在其 module.exports 函数的开头插入了 JavaScript 代码。

JavaScript 代码块用于检查环境是否为 MacOS，如果是，则脚本从与 LuckyMouse APT 的 C2 基础架构关联的 IP 地址下载 RShell。

一旦执行，RShell 会尝试联系其 C2 服务器并发送内核信息、主机名、IP 地址和主机系统的用户名。

RShell 恶意软件接受许多命令，包括文件和目录枚举、读取文件、将数据写入文件以及删除和关闭文件。

LuckyMouse 和 RShell 之间的联系是两者使用的 IP 范围，以及 LuckyMouse 过去使用木马化和武器化的消息传递应用程序的事实，类似于 MiMi 消息传递应用程序。