RShell 惡意軟件針對 MacOS 用戶
RShell 是一種惡意軟件的名稱,該惡意軟件歸因於一個中國高級持續威脅攻擊者,該攻擊者有多個別名,最著名的是 APT27 和 LuckyMouse。
RShell 是由 SEKOIA 的一個研究團隊發現的,並與一款名為 MiMi 的中文應用程序相關聯,該應用程序自 2022 年 5 月下旬以來已被“木馬化”,並被用於下載和部署 RShell 惡意軟件。
據 SEKOIA 稱,這是 LuckyMouse 第一次被發現針對 MacOS 系統。從 2022 年 5 月 26 日更新開始的 MiMi 應用程序版本在其 module.exports 函數的開頭插入了 JavaScript 代碼。
JavaScript 代碼塊用於檢查環境是否為 MacOS,如果是,則腳本從與 LuckyMouse APT 的 C2 基礎架構關聯的 IP 地址下載 RShell。
一旦執行,RShell 會嘗試聯繫其 C2 服務器並發送內核信息、主機名、IP 地址和主機系統的用戶名。
RShell 惡意軟件接受許多命令,包括文件和目錄枚舉、讀取文件、將數據寫入文件以及刪除和關閉文件。
LuckyMouse 和 RShell 之間的聯繫是兩者使用的 IP 範圍,以及 LuckyMouse 過去使用木馬化和武器化的消息傳遞應用程序的事實,類似於 MiMi 消息傳遞應用程序。
August 15, 2022
