Команда исследователей кибербезопасности SEKOIA обнаружила, что китайская хакерская группа Iron Tiger (также известная как Emissary Panda, APT27, Bronze Union и Luckymouse) скомпрометировала популярное китайскоязычное чат-приложение Mimi, внедрив в него вредоносный код. Атака направлена на пользователей macOS, но эксперты также выявили аналогичные угрозы для Windows и Linux, что свидетельствует о масштабной кампании по заражению устройств на разных платформах.
Описание
Расследование началось после обнаружения подозрительной активности в инфраструктуре командно-контрольной системы (C2) HyberBro, связанной с другой китайской группой вторжений - LuckyMouse. В ходе анализа специалисты SEKOIA заметили необычное взаимодействие с приложением Mimi, разработанным компанией Xiamen Baiquan Information Technology Co. Ltd. Дальнейший анализ показал, что версия мессенджера для MacOS, выпущенная 26 мая 2022 года, содержит троянизированный код, который загружает и запускает вредоносный файл Mach-O под названием "rshell".
HyperBro - это известное семейство вредоносных программ, которое Iron Tiger использует для кибершпионажа уже почти десять лет. Однако до сих пор не было зафиксировано случаев применения этой группой инструментов, нацеленных на macOS. Исследователи подтвердили, что обнаруженный образец Mach-O представляет собой новое вредоносное ПО, специально разработанное для атак на компьютеры Apple. Кроме того, были найдены аналогичные образцы, скомпилированные для Linux, что указывает на широкомасштабную кампанию против пользователей разных операционных систем.
Особую тревогу вызывает тот факт, что Iron Tiger контролирует серверы, на которых размещены установочные файлы Mimi. Это означает, что хакеры смогли скомпрометировать цепочку поставок приложения, подменив легитимные установщики зараженными версиями. При загрузке и установке мессенджера пользователи неосознанно получают вредоносные компоненты: HyperBro для Windows и rshell для macOS.
Анализ вредоносного ПО rshell показал, что оно обладает широкими возможностями для скрытого управления зараженными системами. Оно может выполнять произвольные команды, загружать дополнительные модули, красть данные и обеспечивать злоумышленникам долгосрочный доступ к устройствам жертв. Учитывая, что Mimi позиционируется как "секретный" мессенджер, его пользователи могут быть особенно уязвимы, так как доверяют приложению конфиденциальные переговоры.
Эксперты отмечают, что это не первый случай, когда Iron Tiger использует компрометацию легитимного ПО для распространения вредоносных программ. Однако текущая атака демонстрирует возросший уровень технической подготовки группы, которая теперь способна атаковать все три основные платформы - Windows, Linux и macOS. Это значительно расширяет потенциальный круг жертв, включая корпоративных пользователей, государственные учреждения и активистов, использующих защищенные мессенджеры.
SEKOIA рекомендует пользователям Mimi для macOS проверить свои системы на наличие признаков заражения, особенно если приложение было установлено после мая 2022 года. В качестве мер предосторожности стоит временно отказаться от использования Mimi до выхода официального патча и перейти на альтернативные мессенджеры с проверенной репутацией. Компании также должны усилить мониторинг сетевой активности на предмет подозрительных соединений с известными C2-серверами Iron Tiger.
Данный инцидент в очередной раз подчеркивает важность проверки целостности загружаемого ПО и использования средств защиты от угроз цепочки поставок. Киберпреступники активно используют доверие пользователей к популярным приложениям, что делает необходимым внедрение многоуровневой системы безопасности на всех этапах работы с цифровыми сервисами.
Индикаторы компрометации
IPv4
- 103.79.76.88
- 103.79.77.178
- 139.180.216.65
- 45.142.214.193
Domains
- center.veryssl.org
- linux.updatelive-oline.com
- time.ntp-server.asia
URLs
- http://139.180.216.65/dlpprem32.bin
- http://139.180.216.65/dlpprem32.dll
- http://139.180.216.65/rshell
- http://45.77.250.141/dlpprem32.bin
- http://45.77.250.141/dlpprem32.dll
- https://104.168.211.246:443/api/v2/ajax
- https://139.180.216.65:443/api/v2/ajax
- https://45.77.250.141:443/api/v2/ajax
- https://80.92.206.158:443/api/v2/ajax
SHA256
- 07758c93ba33843a9c5603f900f2ad0231c64ec77f6bba6de83ed6e2902022e4
- 07aa739fa4942cfd68d4a075568456797f11ae34db5cd56f88d80185bc1d7a29
- 22c3c2bf77a94ed5f207c00e240f558d6411308d237779ffb12e04bbe2c90356
- 3a9e72b3810b320fa6826a1273732fee7a8e2b2e5c0fd95b8c36bbab970e830a
- 466981b6aa38ae35a2c0e21a2066b4e803cc0bf76409eeb605892604c20ccf3a
- 4742c1987fdd968d7f094dc5a3ea3e9b5340b47e5a61846ac6ac7ae03fc7288f
- 56b55e3587dc8e40e36c2eadba62dd2b39890dc0df313620f3b42ab0f0b92a3d
- 64e771c894616100202e83f3574f8accc8453138af6709367c99157e33bb613a
- 8019b7deaf41b48c38b8b48e016f208a28e0909d437d4e35e3e35f7995758564
- 8c3be245cbbe9206a5d146017c14b8f965ab7045268033d70811d5bcc4b796ec
- c10a3a78cdf1e48189ac270767f7f718bd15a9d4e48e580a9ef6ceff5f4abf46
- d0fec5c5e2687e76af07a4a3c6e2e2b02789838c0b802f5041443ab482bc3498
- d67aebfafa347a21805dbded3fa310e2268a5d2255fcb7f1c8004502a95e7538
- e909c4dac832e9d1ecd1673c5bff6e1939d9c832a2509cb64931e4aa1e334077
- ef2f20d1016cd39ff44f1399c8aa5c1ff5bfd4850d611ba375fbeff7f7e3eaf6
- f6e0e5c9b9d43e008805644d937770b399f859cbba475ad837805d9adec13a2c
