RShell 惡意軟件針對 MacOS 用戶

RShell 是一種惡意軟件的名稱，該惡意軟件歸因於一個中國高級持續威脅攻擊者，該攻擊者有多個別名，最著名的是 APT27 和 LuckyMouse。

RShell 是由 SEKOIA 的一個研究團隊發現的，並與一款名為 MiMi 的中文應用程序相關聯，該應用程序自 2022 年 5 月下旬以來已被“木馬化”，並被用於下載和部署 RShell 惡意軟件。

據 SEKOIA 稱，這是 LuckyMouse 第一次被發現針對 MacOS 系統。從 2022 年 5 月 26 日更新開始的 MiMi 應用程序版本在其 module.exports 函數的開頭插入了 JavaScript 代碼。

JavaScript 代碼塊用於檢查環境是否為 MacOS，如果是，則腳本從與 LuckyMouse APT 的 C2 基礎架構關聯的 IP 地址下載 RShell。

一旦執行，RShell 會嘗試聯繫其 C2 服務器並發送內核信息、主機名、IP 地址和主機系統的用戶名。

RShell 惡意軟件接受許多命令，包括文件和目錄枚舉、讀取文件、將數據寫入文件以及刪除和關閉文件。

LuckyMouse 和 RShell 之間的聯繫是兩者使用的 IP 範圍，以及 LuckyMouse 過去使用木馬化和武器化的消息傳遞應用程序的事實，類似於 MiMi 消息傳遞應用程序。