Çinli Korsanların Windows, Linux Ve macOS'tan Veri Çalmak İçin Arka Kapı Sohbet Uygulaması

SEKOIA'daki siber güvenlik araştırmacıları yakın zamanda MiMi'nin öncelikle Çin pazarına yönelik olan, ancak aynı zamanda çapraz platform olan ve birçok platformda kullanılabilen truva atlı bir sürümünü tanımladılar.

MiMi'nin truva atlı sürümü, aşağıdaki platformlardan veri çalabilen rshell olarak bilinen yeni bir arka kapı sundu:

• Linux
• macOS

macOS'taki uygulamanın 2.3.0 sürümüne yüklendikten neredeyse dört ay sonra, arka kapının yüklü olduğu keşfedildi. Bu, ekip HyperBro RAT kötü amaçlı yazılımı için C2 altyapısına bakarken ve bu uygulamaya düzensiz bağlantılar fark ettiğinde keşfedildi.

Bu kötü amaçlı yazılımla ilgili en ilginç şey, bu kötü amaçlı yazılım ile Çin destekli tehdit grubu APT27 (diğer adıyla Emissary Panda, Iron Tiger ve LuckyMouse) arasında birkaç bağlantı olmasıdır.

Teknik Analiz

MiMi'nin kaynak koduna, kötü amaçlı kodu enjekte etmeden önce uygulamanın bir Mac cihazında çalıştırılıp çalıştırılmadığını kontrol eden kötü amaçlı JavaScript kodu bulaştı. Bunu takiben, kabuk arka kapısı Truva atı tarafından indirilir ve yürütülür.

26 Mayıs 2022'de Mimimi.app'in 2.3.0 sürümü truva atı ile "./mimi.app/Contents/Resources/app/electron-main.js" dosyasıyla yayınlandı.

Kötü amaçlı yazılımın başlatılması ve dağıtılması üzerine, kötü amaçlı yazılım, komutlarını bekleyen APT27 tehdit aktörleriyle iletişim kurmak için sistem bilgilerini toplayacak ve C2 sunucusuna gönderecektir.

Bu uygulamayı kullanarak, saldırganlar güvenliği ihlal edilmiş sistemlerdeki klasörleri ve dosyaları listeleyebilir ve okuma, indirme ve yazma yoluyla dosyalara erişebilir.

Ayrıca, arka kapıya, arka kapının yüklü olduğu sunucuya dosya yüklemesini söyleyebilen çok kullanışlı bir yükleme komutu ile donatılmıştır.

Şu anda, SEKOIA'nın bu uygulamanın meşru olup olmadığını veya veri toplamak için bir casusluk uygulamasından bir casusluk uygulamasına dönüştürülüp dönüştürülmediğini belirlemesinin bir yolu yoktur.

RShell Mach-O İmplantı

RShell adlı geliştiricileri tarafından indirilen implantı yazmak için bir C++ uygulaması kullanılır. C2 sunucusuna bağlanmak için, RShell arka kapısı yürütme sırasında bir bağlantı kurmaya çalışır.

C2 sunucusuna aşağıdaki bilgileri içeren bir "Hello message" gönderildi:

• C2 sunucusuna verilen her yanıta eklenen rastgele bir GUID
• Ana bilgisayar adı
• IPv4 adresleri
• Bağlantı türü ("örneğin "giriş")
• Geçerli kullanıcı adı
• Çekirdek sürümü

C2 sunucusu, bağlantının sürekliliğini sağlamak için her 40 saniyede bir canlı tutma iletisi gönderir. Bu iletinin sunucu tarafından yankılanması önemlidir.

SEKOIA, LuckyMouse'un bu aktivitenin arkasında olduğuna ve onu başlatan kişinin arkasında olduğuna inanıyor.

LuckyMouse'un görev süresinin artık gözetim içerdiğini göz önünde bulundurarak, bu faaliyetin görev süresinin genişletildiğini gösterdiğini varsaymak mantıklıdır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.