Siber güvenlik firmalarından bir çift rapor SEKOIA ve Trend Mikro adlı bir Çinli tehdit aktörünün üstlendiği yeni bir kampanyaya ışık tutuyor. Şanslı Fare Bu, platformlar arası mesajlaşma uygulamasının truva atına dönüştürülmüş bir sürümünün arka kapı sistemlerine kullanılmasını içerir.
Bulaşma zincirleri, Windows işletim sistemi için HyperBro örneklerini ve Linux ve macOS için rshell yapılarını indirmek ve yüklemek için yükleyici dosyaları tehlikeye atılan MiMi adlı bir sohbet uygulamasından yararlanır.
Tayvan ve Filipinler’de bulunan 13 kadar farklı varlık, sekizi rshell ile vurulan saldırıların alıcı tarafında yer aldı. Rshell’in ilk kurbanı 2021 yılının Temmuz ayının ortalarında bildirildi.
Şanslı Fare de denir APT27Bronze Union, Emissary Panda ve Iron Tiger’ın 2013’ten beri aktif olduğu biliniyor ve Çin ile uyumlu siyasi ve askeri istihbarat toplama hedeflerinin peşinde hedeflenen ağlara erişim kazanma geçmişi var.
Gelişmiş kalıcı tehdit aktörü (APT), SysUpdate gibi çok çeşitli özel implantları kullanarak yüksek değerli bilgileri sızdırma konusunda da ustadır. hiperbrove PlugX.
En son gelişme, özellikle tehdit aktörünün Windows ve Linux ile birlikte macOS’u hedeflemeye yönelik başlangıç girişimini işaret ettiği için önemlidir.
Kampanyanın tüm ayırt edici özellikleri var. tedarik zinciri saldırısı MiMi’nin uygulama yükleyicilerini barındıran arka uç sunucuları, Lucky Mouse tarafından kontrol edilir, böylece arka kapıları uzak bir sunucudan almak için uygulamayı değiştirmeyi mümkün kılar.
Bu, uygulamanın macOS 2.3.0 sürümünün 26 Mayıs 2022’de kötü amaçlı JavaScript kodunu eklemek üzere kurcalanmış olması gerçeğiyle doğrulanır. Bu, güvenliği ihlal edilmiş ilk macOS varyantı olsa da, sürüm 2.2.0 ve 2.2.1, Windows’un 23 Kasım 2021 gibi erken bir tarihte benzer eklemeleri içerdiği tespit edildi.
rshell, kendi adına, bir komut ve kontrol (C2) sunucusundan alınan keyfi komutların yürütülmesine ve yürütmenin sonuçlarını geri iletmesine izin veren, tüm olağan zil ve ıslıklarla birlikte gelen standart bir arka kapıdır. sunucu.
MiMi’nin meşru bir sohbet programı olup olmadığı veya “gözetleme aracı olarak tasarlanmış veya yeniden tasarlanmış” olup olmadığı hemen belli değil. Dünya Berberoka (aka GamblingPuppet) çevrimiçi kumar sitelerini hedef aldı – bir kez daha Çinli APT grupları arasındaki yaygın araç paylaşımının göstergesi.
Operasyonun Lucky Mouse ile olan bağlantıları, daha önce Çin-nexus saldırı seti tarafından kullanıldığı tespit edilen altyapı bağlantılarından ve hacker grubu tarafından özel olarak kullanılan bir arka kapı olan HyperBro’nun konuşlandırılmasından kaynaklanıyor.
SEKOIA’nın da belirttiği gibi, bu, düşmanın saldırılarında bir sıçrama noktası olarak bir mesajlaşma uygulamasını ilk kez kullanmadığı bir durum değil. 2020’nin sonlarında ESET, Able Desktop adlı popüler bir sohbet yazılımının HyperBro, PlugX ve Moğolistan’ı hedefleyen Tmanger adlı bir uzaktan erişim truva atı sunmak için kötüye kullanıldığını açıkladı.