Mai 16, 2024
grüne und blaue ballillustration
Technologie

Chinesische Hacker haben die MiMi-Chat-App mit Backdoors genutzt, um Windows-, Linux- und macOS-Benutzer anzugreifen

Die Sicherheitsfirmen SEKOIA und Trend Micro haben eine neue Kampagne einer chinesischen Hackergruppe namens Lucky Mouse aufgedeckt. Die Hacker verwenden bösartige Versionen der plattformübergreifenden Messaging-App Line für Backdoor-Systeme.

Die Malware wird über eine Chat-Anwendung namens MiMi verbreitet, deren Installationsdateien mit HyperBro-Beispielen für Windows und rshell-Artefakten für Linux und macOS kompromittiert sind.

Nicht weniger als 13 verschiedene Einheiten in Taiwan und den Philippinen waren Opfer der Angriffe, von denen acht mit Granaten getroffen wurden. Das erste Opfer von rshell wurde Mitte Juli 2021 gemeldet.

Lucky Mouse ist seit 2013 aktiv und hat sich erfolgreich Zugang zu den Netzwerken seiner Ziele verschafft, um mit China abgestimmte politische und militärische Geheimdienstinformationen zu sammeln.

Der Advanced Persistent Threat Actor ist auch geschickt darin, hochwertige Informationen mit einer Reihe von benutzerdefinierten Implantaten wie SysUpdate, HyperBro und PlugX herauszufiltern.

Die jüngste Entwicklung ist bedeutsam, weil sie zeigt, dass sich der Bedrohungsakteur endlich entschlossen hat, neben Windows und Linux auch macOS anzugreifen.

Die Kampagne weist alle Kennzeichen eines Lieferkettenangriffs auf, da die App-Installer von MiMi von Lucky Mouse gehostet werden. Dies ermöglicht es, diese Apps so zu optimieren, dass sie Backdoors von Remote-Servern abrufen.

Dies liegt daran, dass die macOS-App am 26. Mai 2022 kompromittiert wurde. Dies war möglicherweise eines der ersten Male, dass eine Kompromittierung in MacOS auftrat, aber auch die Versionen 2.2 und später wurden bis zum 23. November 2021 für Windows-Benutzer manipuliert .

rshell ist eine Standard-Hintertür, die mit allen üblichen Schnickschnack ausgestattet ist und die Ausführung beliebiger Befehle ermöglicht, die vom C2-Server empfangen werden.

Es ist nicht sofort klar, ob MiMi ein legitimes Chat-Programm oder als Überwachungstool konzipiert ist. Während die App von einem anderen chinesischsprachigen Schauspieler namens Earth Berberoka (alias GamblingPuppet) verwendet wurde, der auf Online-Glücksspielseiten abzielte, ist dies ein weiterer Hinweis auf die weit verbreitete Verwendung von Tools unter Schauspielern und Gruppen mit Verbindungen zu China.

Die Verbindungen der Operation zu Lucky Mouse stammen von Links zu Infrastrukturen, die zuvor als von Intrusion Set und Deployment HyperBro verwendet identifiziert wurden, einer Backdoor, die ausschließlich für die Hackergruppe eingerichtet wurde – bekannt unter dem Spitznamen „LuckyMouse“.

SEKOIA stellt fest, dass dies nicht das erste Mal ist, dass eine Messaging-App zum Starten von Angriffen verwendet wird. Ende 2020 entdeckte ESET, dass die beliebte Chat-Software Able Desktop missbraucht wurde, um HyperBro- und PlugX-Malware zu verbreiten, die auf die Mongolei abzielte.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

de_CHDeutsch (Schweiz)