‘MiMi’ olarak bilinen Çin pazarına odaklanan bir çapraz platform anlık mesajlaşma uygulamasının sürümleri, Linux ve macOS sistemlerinden veri çalmak için kullanılabilecek yeni bir arka kapı (rshell olarak adlandırılan) sunmak için truva atına tabi tutuldu.
SEKOIA’nın Tehdit ve Tespit Araştırma Ekibi diyor Uygulamanın macOS 2.3.0 sürümünün 26 Mayıs 2022’den bu yana neredeyse dört aydır arka kapıya kapalı olduğunu söyledi.
Bunun için komuta ve kontrol (C2) altyapısını analiz ederken bu uygulamaya olağandışı bağlantıları fark ettikten sonra bunu keşfettiler. hiperbro APT27 Çin destekli tehdit grubuna bağlı uzaktan erişim truva atı (RAT) kötü amaçlı yazılımı.
TrendMicro ayrıca rapor edildi aynı kampanyayı tespit etti ve MiMi’nin Linux’u (rshell ile) ve Windows’u (HyperBro ile) hedefleyen eski trojanlı sürümlerini bulduğunu, en eski Linux rshell örneğinin Haziran 2021’de ve ilk kurbanın Temmuz 2021’in ortalarında rapor edildiğini söyledi.
MiMi’nin kaynak koduna yerleştirilen kötü amaçlı JavaScript kodu, önce uygulamanın bir Mac cihazında çalışıp çalışmadığını kontrol eder ve ardından SEKOIA’nın keşfettiği gibi rshell arka kapısını indirip yürütür.
Kötü amaçlı yazılım başlatıldığında, sistem bilgilerini toplayacak ve C2 sunucusuna gönderecek ve APT27 tehdit aktörlerinden gelen komutları bekleyecektir.
Saldırganlar, klasörleri ve dosyaları listelemek ve güvenliği ihlal edilmiş sistemlerdeki dosyaları okumak, indirmek ve yazmak için kullanabilir. Arka kapı ayrıca C2 sunucusuna dosya gönderme talimatı veren bir yükleme komutu desteği ile birlikte gelir.
Kötü amaçlı yazılım, aynı IP adresi aralığını ve ortak taktikleri kullanan çakışan altyapıya dayalı olarak APT27’ye bağlandı (arka kapı Able Desktop mesajlaşma uygulaması). StealthyTrident Operasyonu ve kötü amaçlı kodun paketlenmesi Dean Edwards Javascript paketleyici).
Araştırmacılar, “Bu aşamada, SEKOIA bu kampanyanın amacını değerlendiremiyor. Bu uygulamanın Çin’deki kullanımı düşük göründüğünden, hedefe yönelik bir gözetleme aracı olarak geliştirilmiş olması akla yatkın” dedi.
“Ayrıca, operatörler tarafından gerçekleştirilen sosyal mühendisliğin ardından, hedeflenen kullanıcıların, sözde Çinli yetkililerin sansürünü atlatmak için bu uygulamayı indirmeleri için teşvik edilmesi de muhtemeldir.”
Ayrıca Zoho ve Exchange sunucularını da hedefliyor
APT27 (aka Emissary Panda, Iron Tiger ve LuckyMouse) on yıldan fazla bir süredir (en az 2010’dan beri) aktif olan ve siber casusluk ve bilgi hırsızlığı kampanyalarına odaklanmasıyla bilinen Çin destekli bir tehdit grubudur.
Mart 2021’den bu yana grup, HyperBro RAT dahil olmak üzere çeşitli kötü amaçlı yazılım türleri ile, bulut uygulamaları ve Active Directory için bir parola yönetimi çözümü olan savunmasız Zoho AdSelf Service Plus yazılımını çalıştıran sunucuları ihlal ediyor ve bunlara bulaşıyor.
Bu saldırılar dünya çapında kritik sektörlerden en az dokuz varlığı tehlikeye attısavunma, sağlık, enerji ve teknoloji dahil.
Ocak ayında, BfV Alman iç istihbarat servisleri (Bundesamt für Verfassungsschutz’un kısaltması) ayrıca APT27 saldırılarına karşı uyarıldı Aynı taktiği kullanan Alman ticari kuruluşlarına karşı.
APT27 ve Çin destekli diğer tehdit grupları da geçmişte bağlantılıydı. ProxyLogon hatalarından yararlanan saldırılara Mart 2021’in başlarından başlayarak ve dünya çapındaki yama uygulanmamış Microsoft Exchange sunucularından veri çalmalarına izin veriyor.