Logiciel malveillant RShell

Il a été découvert que des cybercriminels chinois utilisaient une version militarisée d'une application de messagerie pour déployer une menace de porte dérobée nommée RShell. La menace de porte dérobée a des versions pour les systèmes Linux et macOS. Des détails sur les opérations d'attaque et le malware RShell ont été publiés dans des rapports de chercheurs en sécurité. Selon eux, RShell fait partie de l'arsenal menaçant du groupe APT (Advanced Persistent Threat) suivi comme APT27 , LuckyMouse, IronTiger et Emissary Panda. Ce groupe de cybercriminalité particulier est actif depuis plus d'une décennie et se concentre principalement sur les opérations de cyberespionnage.

Les pirates ont utilisé une version cheval de Troie de l'application de messagerie Electron "MìMì" ("mimi" - 秘秘 - "secret") qui est annoncée comme disponible pour les plates-formes Android, iOS, Windows et macOS. Les chercheurs ont découvert une version Linux, livrant également le malware RShell. Lorsque la version corrompue de macOS MiMi est activée, elle vérifie d'abord si l'environnement correspond aux paramètres nécessaires - macOS (Darwin). Ensuite, il récupérera une charge utile RShell à partir de son serveur Command-and-Control (C2, C&C), l'écrira dans le dossier temporaire, lui accordera l'autorisation d'exécution et enfin l'exécutera.

L'analyse de RShell a révélé qu'il s'agit d'une menace de porte dérobée équipée des fonctionnalités typiques associées à ce type de logiciel malveillant. Les premiers échantillons découverts par TrendMicro datent de juin 2021. RShell est livré au format Mach-O sur les systèmes macOS et ELF sur les plates-formes Linux. Lorsqu'elle est activée sur l'appareil de la victime, la menace collecte diverses informations système, notamment le nom de l'ordinateur, l'adresse IP, le nom d'utilisateur, la version, etc. Toutes les données collectées seront regroupées dans un message JSON binaire et transmises au serveur C2 sous une forme non cryptée via TCP. Les acteurs de la menace APT peuvent demander à RShell d'exécuter des commandes dans le shell, de lire des fichiers, de répertorier les fichiers et les répertoires dans le système de fichiers racine, d'écrire des données dans des fichiers spécifiés, etc.