A SEKOIA és a Trend Micro biztonsági cégek egy Lucky Mouse nevű kínai hackercsoport új kampányát fedezték fel. A hackerek a Line többplatformos üzenetküldő alkalmazás rosszindulatú verzióit használják a hátsó ajtókhoz.
A rosszindulatú program a MiMi nevű chat-alkalmazáson keresztül terjed, amelynek telepítőfájljait HyperBro minták Windows-hoz, illetve rshell-termékek Linuxhoz és macOS-hez kompromittálták.
A Tajvanon és a Fülöp-szigeteken található 13 különböző entitás került a támadások végére, közülük nyolcat rshell-találat érte. Az rshell első áldozatát 2021 júliusának közepén jelentették.
A Lucky Mouse 2013 óta aktív, és sikeresen hozzáfért célpontjai hálózataihoz a Kínával összhangban lévő politikai és katonai hírszerzési adatok gyűjtése érdekében.
A fejlett, állandó fenyegetések szereplője a nagy értékű információk kiszűrésében is ügyes, olyan egyedi implantátumok segítségével, mint a SysUpdate, a HyperBro és a PlugX.
A legújabb fejlesztés azért jelentős, mert azt mutatja, hogy a fenyegetés szereplője végre úgy döntött, hogy a Windows és a Linux mellett a macOS-t is megtámadja.
A kampányban az ellátási lánc támadásainak minden jellemzője megvan, mivel a MiMi alkalmazástelepítőit a Lucky Mouse üzemelteti. Ez lehetővé teszi ezeknek az alkalmazásoknak a beállítását a távoli kiszolgálók hátsó ajtóinak lekéréséhez.
Ennek az az oka, hogy a macOS alkalmazást 2022. május 26-án feltörték. Lehet, hogy ez volt az egyik első alkalom, amikor a MacOS rendszerben kompromittálás történt, de 2021. november 23-ig a Windows-felhasználók számára a 2.2-es és későbbi verziókat is manipulálták. .
Az rshell egy szabványos hátsó ajtó, amely az összes szokásos csengő- és sípjellel rendelkezik, és lehetővé teszi a C2 szervertől kapott tetszőleges parancsok végrehajtását.
Nem egyértelmű, hogy a MiMi legitim chatprogram-e, vagy felügyeleti eszköznek tervezték. Míg az alkalmazást egy másik kínaiul beszélő színész, az Earth Berberoka (más néven GamblingPuppet) használta az online szerencsejáték-oldalakra, ami ismét azt jelzi, hogy a kínai kapcsolattal rendelkező szereplők és csoportok elterjedt az eszközök használata.
A műveletnek a Lucky Mouse-hoz való kapcsolódása a korábban a behatolások beállítása és telepítése által használtként azonosított HyperBro, hátsó ajtó, amely kizárólag a hackercsoport számára lett beépítve – a „LuckyMouse” becenéven ismert, hivatkozásokból ered.
A SEKOIA megjegyzi, hogy nem ez az első alkalom, hogy üzenetküldő alkalmazást használnak támadások indítására. 2020 végén az ESET felfedezte, hogy az Able Desktop nevű népszerű csevegőszoftvert használják ki Mongóliát célzó HyperBro és PlugX rosszindulatú programok továbbítására.
Magyar 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada