3月 28, 2024
绿色和蓝色的球插画
技术

中国黑客后门 MiMi 聊天应用程序以针对 Windows、Linux、macOS 用户

安全公司 SEKOIA 和趋势科技发现了一个名为 Lucky Mouse 的中国黑客组织的新活动。黑客使用跨平台消息应用程序 Line 的恶意版本进入后门系统。

该恶意软件通过名为 MiMi 的聊天应用程序传播,其安装程序文件受到 Windows 的 HyperBro 示例和 Linux 和 macOS 的 rshell 工件的损害。

位于台湾和菲律宾的多达 13 个不同的实体已成为攻击的接收端,其中八个已被 rshell 攻击。 2021 年 7 月中旬报告了第一个 rshell 受害者。

Lucky Mouse 自 2013 年以来一直活跃,并成功进入其目标网络,以寻求与中国结盟的政治和军事情报收集。

高级持续性威胁参与者还擅长使用一系列自定义植入程序(例如 SysUpdate、HyperBro 和 PlugX)来窃取高价值信息。

最新进展意义重大,因为它表明威胁行为者最终决定在 Windows 和 Linux 之外攻击 macOS。

该活动具有供应链攻击的所有特征,因为 MiMi 的应用程序安装程序由 Lucky Mouse 托管。这使得调整这些应用程序以从远程服务器检索后门成为可能。

这是因为 macOS 应用程序在 2022 年 5 月 26 日遭到入侵。这可能是 MacOS 中首次发生的入侵事件之一,但到 2021 年 11 月 23 日,Windows 用户也发现 2.2 及更高版本被篡改.

rshell 是一个标准的后门,它带有所有常见的花哨功能,并允许执行从 C2 服务器接收到的任意命令。

目前尚不清楚 MiMi 是合法的聊天程序还是被设计为监视工具。虽然该应用程序已被另一位名为 Earth Berberoka(又名 GamblingPuppet)的中文演员用于在线赌博网站——再次表明与中国有联系的演员和团体普遍使用该工具。

该行动与 Lucky Mouse 的联系源于先前确定为入侵集和部署 HyperBro 使用的结构链接,后门专门为黑客组织设置,绰号为“LuckyMouse”。

SEKOIA 指出,这并不是第一次使用消息传递应用程序发起攻击。 2020 年末,ESET 发现名为 Able Desktop 的流行聊天软件被利用来传播针对蒙古的 HyperBro 和 PlugX 恶意软件。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

zh_CN简体中文