Siber güvenlik firmaları SEKOIA ve Trend Micro’dan gelen bir çift rapor, Çinli bir tehdit aktörü tarafından üstlenilen yeni bir kampanyaya ışık tutuyor. Şanslı Fare Bu, platformlar arası mesajlaşma uygulamasının truva atına dönüştürülmüş bir sürümünün arka kapı sistemlerine kullanılmasını içerir.
Bulaşma zincirleri, Windows işletim sistemi için HyperBro örneklerini ve Linux ve macOS için rshell yapılarını indirmek ve yüklemek için yükleyici dosyaları tehlikeye atılan MiMi adlı bir sohbet uygulamasından yararlanır.
Tayvan ve Filipinler’de bulunan 13 kadar farklı varlık, sekizi rshell ile vurulan saldırıların alıcı tarafında yer aldı. Rshell’in ilk kurbanı 2021 yılının Temmuz ayının ortalarında bildirildi.
APT27, Bronze Union, Emissary Panda ve Iron Tiger olarak da adlandırılan Lucky Mouse’un 2013’ten beri aktif olduğu biliniyor ve Çin ile uyumlu siyasi ve askeri istihbarat toplama hedeflerinin peşinde hedeflenen ağlara erişim kazanma geçmişi var.
Gelişmiş kalıcı tehdit aktörü (APT), SysUpdate, HyperBro ve PlugX gibi çok çeşitli özel implantları kullanarak yüksek değerli bilgileri sızdırma konusunda da ustadır.
En son gelişme, özellikle tehdit aktörünün Windows ve Linux ile birlikte macOS’u hedeflemeye yönelik başlangıç girişimini işaret ettiği için önemlidir.
Kampanya, MiMi’nin uygulama yükleyicilerini barındıran arka uç sunucularının Lucky Mouse tarafından kontrol edilmesi ve böylece uzaktaki bir sunucudan arka kapıları almak için uygulamada ince ayar yapılmasını mümkün kıldığından, bir tedarik zinciri saldırısının tüm ayırt edici özelliklerine sahiptir.
Bu, uygulamanın macOS 2.3.0 sürümünün 26 Mayıs 2022’de kötü amaçlı JavaScript kodunu eklemek üzere kurcalanmış olması gerçeğiyle doğrulanır. Bu, güvenliği ihlal edilmiş ilk macOS varyantı olsa da, sürüm 2.2.0 ve 2.2.1, Windows’un 23 Kasım 2021 gibi erken bir tarihte benzer eklemeleri içerdiği tespit edildi.
rshell, kendi adına, bir komut ve kontrol (C2) sunucusundan alınan keyfi komutların yürütülmesine ve yürütmenin sonuçlarını geri iletmesine izin veren, tüm olağan zil ve ıslıklarla birlikte gelen standart bir arka kapıdır. sunucu.
MiMi’nin meşru bir sohbet programı olup olmadığı veya “bir gözetim aracı olarak tasarlanmış veya yeniden tasarlanmış” olup olmadığı hemen belli değil, ancak uygulama, çevrimiçi kumar sitelerini hedefleyen Earth Berberoka (aka GamblingPuppet) adlı Çince konuşan başka bir aktör tarafından kullanıldı. – Çinli APT grupları arasındaki yaygın araç paylaşımının bir kez daha göstergesi.
Operasyonun Lucky Mouse ile olan bağlantıları, daha önce Çin-nexus saldırı seti tarafından kullanıldığı tespit edilen altyapı bağlantılarından ve hacker grubu tarafından özel olarak kullanılan bir arka kapı olan HyperBro’nun konuşlandırılmasından kaynaklanıyor.
SEKOIA’nın da belirttiği gibi, bu, düşmanın saldırılarında bir sıçrama noktası olarak bir mesajlaşma uygulamasını ilk kez kullanmadığı bir durum değil. 2020’nin sonlarında ESET, Able Desktop adlı popüler bir sohbet yazılımının HyperBro, PlugX ve Moğolistan’ı hedefleyen Tmanger adlı bir uzaktan erişim truva atı sunmak için kötüye kullanıldığını açıkladı.