国内即时通讯应用MiMi被植入后门程序攻击Android、iOS、Windows和macOS平台。MiMiMiMi是一款主要面向国内用户的即时通讯应用,有Windows、macOS、Android和iOS版本。桌面版使用ElectronJS框架开发,ElectronJS是一个依赖于node.js的跨平台框架,允许开发人员使用HTML、JS和CSS创建应用程序。MiMi没有推广,网站(www.mmimchat[.]com)只有下载链接,没有详细介绍,也没有社交媒体推广链接。图1咪咪网站(www.mmimchat[.]com)最后一次修改时间是7月26日。根据苹果的试点应用修改日志和被动DNS记录,研究人员发现该应用最早可以追溯到2020年6月。咪咪被后门了macOS版本的MiMi在Apple镜像文件中打包了ElectronApp。该应用程序似乎可以正常运行,但用户注册后发现他们无法与联系人聊天。2022年5月26日发布的2.3.0版本中,./mimi.app/Contents/Resources/app/electron-main.js文件被木马化。如下图,是通过放在module.exports函数开头的DeanEdwardsPackedJavaScript代码实现的:图2后门注入的electron-main.js文件。代码执行时会检查环境是否为macOS,然后从139.180.216.65下载rshell。提取出来的payload会被下载到temp文件夹,修改为有执行权限,然后执行。反混淆后的代码如下:图3负责下载并执行Rshell的代码SEKOIA研究人员分析发现,当前版本的Windows、iOS和安装版本均不存在后门。但TrendMicro研究人员发现,旧版本的Linux和Windows也存在后门。6月,TrendMicro研究人员下载了MiMimacOSv2.3.2,并没有发现异常。再次下载后发现安装包被恶意版本替换。说明攻击者直接访问了部署安装程序的服务器,攻击者监控了MiMi开发者的release版本,以便及时插入后门。图4下载的安装程序(左)和后门安装程序(右)。从图中可以看出,攻击者修改了合法的安装程序,并在大约一个半小时内添加了恶意代码。在之前的版本中,攻击者需要大约一天的时间才能注入恶意修改。修改也适用于electron-main.js文件。图5恶意JS代码插入2.3.2dmgFig.6去混淆后的恶意JS代码图72.2.0exe中插入恶意JS代码攻击Windows操作系统图82.2.0exe中去混淆后的恶意JS代码可以看出,一个可执行文件,一个DLL文件和二进制文件被下载到临时目录。这是攻击者加载文件并利用DLL侧通道漏洞的常用方法。本例中使用的可执行文件属于DESlock+产品。RShell下载的木马是RShell,用C++编写,嵌入在Boost.Asio和nlohmann/json库中。后门使用基于TCP数据包的BJSON与命令和控制服务器通信,无需加密或任何持久性机制。Rshell可执行文件是一个标准的后门,可以实现以下功能:收集操作系统信息并发送给C2服务器;接收和执行来自C2服务器的命令;将命令执行结果发送给C2。在分析过程中,研究人员发现了多个版本,包括适用于macOS平台的Macho格式和适用于Linux平台的ELF格式。最早样本于2021年6月上传,第一个受害者出现于2021年7月中旬。收集到的信息包括:GUID:随机生成的guid,保存在/tmp/guid计算机名:uname(nodename)IP地址:(getifaddrs)Messagetype:loginusername:_getpwuid(pw_name)version:uname(release)收集到这些信息,后门将其打包成二进制JSON(BJSON)消息,并通过TCP以明文形式发送。图9反序列化的BSON包en_us/research/22/h/irontiger-compromises-chat-app-Mimi-targets-windows-mac-linux-users.html
