SEKOIA’daki siber güvenlik araştırmacıları, yakın zamanda, öncelikle Çin pazarını hedefleyen ancak aynı zamanda çapraz platform olan ve birçok platformda kullanılabilen MiMi’nin truva atına dönüştürülmüş bir versiyonunu belirlediler.
MiMi’nin truva atlı sürümü, aşağıdaki platformlardan veri çalabilen rshell olarak bilinen yeni bir arka kapı sağladı: –
MacOS’ta uygulamanın 2.3.0 sürümüne yaklaşık dört ay yüklendikten sonra, arka kapının yüklendiği keşfedildi. Bu, ekip HyperBro RAT kötü amaçlı yazılımı için C2 altyapısına bakarken ve bu uygulamaya düzensiz bağlantılar fark ettiğinde keşfedildi.
Bu kötü amaçlı yazılımla ilgili en ilginç şey, bu kötü amaçlı yazılım ile Çin destekli tehdit grubu APT27 (aka Emissary Panda, Iron Tiger ve LuckyMouse) arasında birkaç bağlantı bulunmasıdır.
Ayrıca Okuyun: Sıfır Güven Ağı ile Siber Güvenliği Radikal Olarak Basitleştirme – Ücretsiz E-Kitap
Teknik Analiz
MiMi’nin kaynak koduna, kötü amaçlı kodu enjekte etmeden önce uygulamanın bir Mac cihazında çalıştırılıp çalıştırılmadığını kontrol eden kötü amaçlı JavaScript kodu bulaşmıştır. Bunu takiben, kabuk arka kapısı Truva Atı tarafından indirilir ve yürütülür.
26 Mayıs 2022’de Mimimi.app’in 2.3.0 sürümü, truva atlanmış bir “./mimi.app/Contents/Resources/app/electron-main.js” dosyasıyla yayınlandı.
Kötü amaçlı yazılımın başlatılması ve dağıtılması üzerine, kötü amaçlı yazılım, komutlarını bekleyen APT27 tehdit aktörleriyle iletişim kurmak için sistem bilgilerini toplayacak ve C2 sunucusuna gönderecektir.
Saldırganlar bu uygulamayı kullanarak, güvenliği ihlal edilmiş sistemlerdeki klasörleri ve dosyaları listeleyebilir ve dosyalara okuma, indirme ve yazma yoluyla erişebilir.
Ayrıca, arka kapıya dosyaları arka kapının kurulu olduğu sunucuya yükleme talimatı verebilen çok kullanışlı bir yükleme komutu ile donatılmıştır.
Şu anda SEKOIA’nın bu uygulamanın meşru olup olmadığını veya veri toplamak için bir casusluk uygulamasından bir casusluk uygulamasına dönüştürülüp dönüştürülmediğini belirlemesinin bir yolu yoktur.
RShell Mach-O implantı
Geliştiricileri tarafından indirilen RShell adlı implantı yazmak için bir C++ uygulaması kullanılır. C2 sunucusuna bağlanmak için, RShell arka kapısı yürütme sırasında bir bağlantı kurmaya çalışır.
C2 sunucusuna aşağıdaki bilgileri içeren bir “Merhaba mesajı” gönderildi: –
- C2 sunucusuna verilen her yanıta eklenen rastgele bir GUID
- ana bilgisayar adı
- IPv4 adresleri
- bağlantı türü (örneğin “oturum açma”)
- geçerli kullanıcı adı
- çekirdek sürümü
C2 sunucusu, bağlantının sürekliliğini sağlamak için her 40 saniyede bir canlı tutma mesajı gönderir. Bu mesajın sunucu tarafından yankılanması önemlidir.
SEKOIA, bu aktivitenin arkasında ve onu başlatan kişinin LuckyMouse olduğuna kuvvetle inanmaktadır.
LuckyMouse’un yetkisinin artık gözetimi de kapsadığı göz önüne alındığında, bu faaliyetin yetki alanının genişletildiğini gösterdiğini varsaymak mantıklıdır.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap