安全公司 SEKOIA 和趋势科技发现了一个名为 Lucky Mouse 的中国黑客组织的新活动。黑客使用跨平台消息应用程序 Line 的恶意版本进入后门系统。
该恶意软件通过名为 MiMi 的聊天应用程序传播,其安装程序文件受到 Windows 的 HyperBro 示例和 Linux 和 macOS 的 rshell 工件的损害。
位于台湾和菲律宾的多达 13 个不同的实体已成为攻击的接收端,其中八个已被 rshell 攻击。 2021 年 7 月中旬报告了第一个 rshell 受害者。
Lucky Mouse 自 2013 年以来一直活跃,并成功进入其目标网络,以寻求与中国结盟的政治和军事情报收集。
高级持续性威胁参与者还擅长使用一系列自定义植入程序(例如 SysUpdate、HyperBro 和 PlugX)来窃取高价值信息。
最新进展意义重大,因为它表明威胁行为者最终决定在 Windows 和 Linux 之外攻击 macOS。
该活动具有供应链攻击的所有特征,因为 MiMi 的应用程序安装程序由 Lucky Mouse 托管。这使得调整这些应用程序以从远程服务器检索后门成为可能。
这是因为 macOS 应用程序在 2022 年 5 月 26 日遭到入侵。这可能是 MacOS 中首次发生的入侵事件之一,但到 2021 年 11 月 23 日,Windows 用户也发现 2.2 及更高版本被篡改.
rshell 是一个标准的后门,它带有所有常见的花哨功能,并允许执行从 C2 服务器接收到的任意命令。
目前尚不清楚 MiMi 是合法的聊天程序还是被设计为监视工具。虽然该应用程序已被另一位名为 Earth Berberoka(又名 GamblingPuppet)的中文演员用于在线赌博网站——再次表明与中国有联系的演员和团体普遍使用该工具。
该行动与 Lucky Mouse 的联系源于先前确定为入侵集和部署 HyperBro 使用的结构链接,后门专门为黑客组织设置,绰号为“LuckyMouse”。
SEKOIA 指出,这并不是第一次使用消息传递应用程序发起攻击。 2020 年末,ESET 发现名为 Able Desktop 的流行聊天软件被利用来传播针对蒙古的 HyperBro 和 PlugX 恶意软件。