16/08/22
Различные версии китайского мессенджера MiMi были заражены троянами для создания нового бэкдора, получившего название rshell. Этот бэкдор может быть использован злоумышленниками для кражи данных из систем на macOS и Linux.
Аналитики SEKOIA обнаружили , что бэкдор в мессенджере для macOS 2.3.0 был активен почти четыре месяца, с 26 мая 2022 года. Найти бэкдор удалось после того, как исследователи заметили необычное соединение с MiMi при анализе C&C-инфраструктуры RAT HyperBro, связанного с группировкой APT27 (также известной как Iron Tiger).
Специалисты TrendMicro тоже обнаружили зараженные троянами версии MiMi для Linux (с rshell) и Windows (с HyperBro). Стоит заметить, что самый старый образец rshell для Linux был обнаружен в июне 2021 года, а сообщение о первой жертве поступило в середине июля 2021 года.
Работает все довольно просто: вредоносный JavaScript -код, внедренный в исходный код MiMi, сначала проверяет, запущено ли приложение на Mac, а затем развертывает rshell. После запуска бэкдор собирает и отправляет системную информацию на свой C&C-сервер, затем ждет команд от хакеров.
Вредонос может быть использован для составления списка папок и файлов, а также для чтения, загрузки и выгрузки файлов на взломанных системах.
Эксперты связали бэкдор с APT27 из-за совпадающей инфраструктуры, использующей один и тот же диапазон IP-адресов, и общей тактики. Однако, специалистам не удалось выяснить цель злоумышленников. Мессенджер MiMi не очень популярен в Китае, поэтому аналитики предполагают, что бэкдор был разработан как инструмент для слежки за узким кругом жертв, пишут в Securitylab.
