Специалисты компаний SEKOIA и Trend Micro опубликовали отчеты, посвященные активности китайской хак-группы APT27 (она же Emissary Panda, Iron Tiger и LuckyMouse). Оказалось, что злоумышленники создали кроссплатформенную вредоносную версию китайского мессенджера MiMi (秘密, «секрет» на китайском языке), и с его помощью атакуют пользователей Windows, Linux и macOS.
Так, исследователи из SEKOIA пишут, что MiMi для macOS версии 2.3.0 был взломан почти четыре месяца назад, 26 мая 2022 года. Компрометация обнаружилась во время анализа инфраструктуры трояна удаленного доступа HyperBro, связанного с APT27: малварь связывалась с приложением, что показалось экспертам подозрительным.
Аналитики TrendMicro тоже заметили эту кампанию (независимо от своих коллег) и теперь сообщают, что выявили старые троянизированные версии MiMi, нацеленные на Linux (бэкдор rshell) и Windows (RAT HyperBro).
При этом самый старый образец rshell для Linux датирован июнем 2021 года, и о первой жертве этой кампании стало известно еще в середине июля 2021 года. В общей сложности атакам подверглись не менее 13 различных организаций на Тайване и Филиппинах, и 8 из которых пострадали от rshell.
Эксперты рассказывают, что в случае MacOS, вредоносный код JavaScript, внедренный в MiMi, проверяет, работает ли приложение на Mac, а затем загружает и запускает бэкдор rshell. После запуска малварь собирает и отправляет своим операторам системную информацию и ожидает дальнейших команд.
Хакеры могут использовать вредоноса для составления списков файлов и папок, а также для чтения, записи и загрузки файлов в скомпрометированных системах. Кроме того, бэкдор способен воровать данные и отправлять конкретные файлы на свой управляющий сервер.
По словам экспертов, связь этой кампании с APT27 очевидна. Так, инфраструктура злоумышленников использует уже известный ИБ-специалистам диапазон IP-адресов. Кроме того, подобные кампании уже наблюдались ранее, к примеру, бэкдор внедряли в мессенджер Able Desktop (операция StealthyTrident), а упаковка вредоносного кода осуществлялись с помощью уже известного инструмента, связанного с APT27.
Стоит отдельно отметить, что нельзя с уверенностью утверждать, что речь идет именно об атаке на цепочку поставок. Дело в том, что по данным Trend Micro, хакеры явно контролируют серверы, на которых размещены установщики MiMi, и эксперты предполагают, что имеют дело с компрометацией легитимного и не слишком популярного мессенджера, ориентированного на китайскую аудиторию.
В свою очередь аналитики SEKOIA говорят, что MiMi выглядит весьма подозрительно: связанный с мессенджером сайт (www.mmimchat[.]com) не содержит подробного описания приложения, условий использования и ссылок на социальные сети. Проверить легитимность компании-разработчика Xiamen Baiquan Information Technology Co. Ltd. тоже не удалось. В итоге эксперты SEKOIA пишут, что мессенджер вообще могли разработать сами хакеры, и он представляет собой изначально вредоносный инструмент для слежки за конкретными целями.
«На данном этапе SEKOIA не может оценить цели этой кампании. Поскольку использование этого приложения в Китае выглядит минимальным, вполне вероятно, что оно было разработано как инструмент для целевой слежки. Также вероятно, что после этапа социальной инженерии, которую осуществляли операторы [малвари], целевым пользователям предлагали загрузить это приложение, якобы для обхода цензуры китайских властей», — заключают исследователи.