RShell 恶意软件针对 MacOS 用户
RShell 是一种恶意软件的名称,它归因于一个中国高级持续威胁攻击者,该攻击者有多个别名,最著名的是 APT27 和 LuckyMouse。
RShell 是由 SEKOIA 的一个研究团队发现的,并与一款名为 MiMi 的中文应用程序相关联,该应用程序自 2022 年 5 月下旬以来已被“木马化”,并被用于下载和部署 RShell 恶意软件。
根据 SEKOIA 的说法,这是 LuckyMouse 第一次被发现针对 MacOS 系统。从 2022 年 5 月 26 日更新开始的 MiMi 应用程序版本在其 module.exports 函数的开头插入了 JavaScript 代码。
JavaScript 代码块用于检查环境是否为 MacOS,如果是,则脚本从与 LuckyMouse APT 的 C2 基础架构关联的 IP 地址下载 RShell。
一旦执行,RShell 会尝试联系其 C2 服务器并发送内核信息、主机名、IP 地址和主机系统的用户名。
RShell 恶意软件接受许多命令,包括文件和目录枚举、读取文件、将数据写入文件以及删除和关闭文件。
LuckyMouse 和 RShell 之间的联系是两者使用的 IP 范围,以及 LuckyMouse 过去使用木马化和武器化的消息传递应用程序的事实,类似于 MiMi 消息传递应用程序。
August 15, 2022
