RShell-Malware

Chinesische Cyberkriminelle wurden aufgedeckt, die eine bewaffnete Version einer Messenger-Anwendung verwenden, um eine Backdoor-Bedrohung namens RShell einzusetzen. Die Backdoor-Bedrohung hat Versionen für Linux- und macOS-Systeme. Details zu den Angriffsoperationen und der RShell-Malware wurden in Berichten von Sicherheitsforschern veröffentlicht. Ihnen zufolge ist RShell Teil des Bedrohungsarsenals der APT-Gruppe (Advanced Persistent Threat), die als APT27 , LuckyMouse, IronTiger und Emissary Panda verfolgt wird. Diese spezielle Cybercrime-Gruppe ist seit über einem Jahrzehnt aktiv und konzentriert sich hauptsächlich auf Cyberspionage-Operationen.

Die Hacker verwendeten eine trojanisierte Version der Electron-Messaging-Anwendung „MìMì“ („mimi“ – 秘秘 – „geheim“), die als für Android-, iOS-, Windows- und macOS-Plattformen verfügbar beworben wird. Die Forscher entdeckten eine Linux-Version, die auch die RShell-Malware enthielt. Wenn die beschädigte macOS MiMi-Version aktiviert wird, prüft sie zunächst, ob die Umgebung mit den erforderlichen Parametern übereinstimmt – macOS (Darwin). Anschließend holt es eine RShell-Payload von seinem Command-and-Control-Server (C2, C&C), schreibt sie in den temporären Ordner, erteilt ihr die Ausführungsberechtigung und führt sie schließlich aus.

Die Analyse von RShell hat ergeben, dass es sich um eine Backdoor-Bedrohung handelt, die mit den typischen Merkmalen dieses Malware-Typs ausgestattet ist. Die frühesten von TrendMicro entdeckten Muster stammen aus dem Juni 2021. RShell wird im Mach-O-Format auf macOS-Systemen und ELF auf Linux-Plattformen geliefert. Bei Aktivierung auf dem Gerät des Opfers sammelt die Bedrohung verschiedene Systeminformationen, darunter Computername, IP-Adresse, Benutzername, Version usw. Alle gesammelten Daten werden in eine binäre JSON-Nachricht verpackt und unverschlüsselt an den C2-Server übertragen TCP. Die APT-Bedrohungsakteure können RShell anweisen, Befehle in der Shell auszuführen, Dateien zu lesen, die Dateien und Verzeichnisse im Root-Dateisystem aufzulisten, Daten in bestimmte Dateien zu schreiben und vieles mehr.