國內(nèi)即時消息應(yīng)用MiMi被植入后門，攻擊安卓、iOS、Windows和macOS平臺。

MiMi

MiMi是一款主要針對國內(nèi)用戶的即時消息應(yīng)用，有Windows、macOS、安卓和iOS版本。桌面版用ElectronJS框架開發(fā)，該框架是依賴node.js的跨平臺框架，允許開發(fā)者使用HTML、JS和CSS創(chuàng)建應(yīng)用。

MiMi并沒有進行推廣，網(wǎng)站(www.mmimchat[.]com)只有一個下載鏈接，沒有詳細的介紹，也沒有社交媒體推廣鏈接。

圖1 Mimi網(wǎng)站（www.mmimchat[.]com）

網(wǎng)站的最近修改時間是7月26日。根據(jù)蘋果應(yīng)用試點修改日志和被動DNS記錄，研究人員發(fā)現(xiàn)該應(yīng)用最早可以追溯到2020年6月。

MiMi被植入后門

macOS版本的MiMi在蘋果鏡像文件中打包了ElectronApp。該應(yīng)用看似功能正常，但是用戶注冊后發(fā)現(xiàn)無法用聯(lián)系人聊天。在2022年5月26日發(fā)布的2.3.0版本中，./mimi.app/Contents/Resources/app/electron-main.js文件被木馬化了。如下所示，是通過在module.exports 函數(shù)的開始處放置的Dean Edwards Packed JavaScript代碼實現(xiàn)的：

圖2  被注入后門的electron-main.js文件

該代碼執(zhí)行時會檢查環(huán)境是否是macOS，然后從139.180.216.65下載rshell。提取的payload會下載temp文件夾中，修改為具有執(zhí)行權(quán)限，然后執(zhí)行。反混淆后的代碼如下所示：

圖3 負責(zé)下載和執(zhí)行Rshell的代碼

SEKOIA研究人員分析發(fā)現(xiàn)當前版本的Windows、iOS和安裝版本中沒有后門。但TrendMicro研究人員發(fā)現(xiàn)老版本的Linux和Windows版本也被植入后門。

6月，TrendMicro研究人員下載了MiMi macOS v2.3.2版本，沒有發(fā)現(xiàn)什么異常。之后再次下載，發(fā)現(xiàn)安裝包被惡意版本替換。說明攻擊者直接訪問了部署安裝器的服務(wù)器，而且攻擊者監(jiān)控了MiMi開發(fā)者的發(fā)布版本，以便及時插入后門。

圖4 下載的安裝器（左）和被植入后門的安裝器（右）

從圖中可以看出，攻擊者大約用了1個半小時就修改了合法的安裝器并添加了惡意代碼。而之前的版本，攻擊者大約花了一天來注入惡意修改。修改同樣是針對electron-main.js文件。

圖5 插入2.3.2 dmg的惡意JS代碼

圖6 反混淆的惡意JS代碼

圖 7 插入2.2.0 exe中的惡意JS代碼，攻擊Windows 操作系統(tǒng)

圖 8 2.2.0 exe版本中反混淆的惡意JS代碼

可以看出，會下載一個可執(zhí)行文件、一個DLL文件和一個二進制文件到臨時目錄。這是攻擊者加載文件、利用DLL側(cè)信道漏洞的常用方式。本例中利用的可執(zhí)行文件屬于DESlock+產(chǎn)品。

RShell

下載的木馬是RShell，是用C++編寫的，并嵌入到Boost.Asio 和 nlohmann/json庫中。后門使用基于TCP包的BJSON來與命令和控制服務(wù)器通信，沒有使用加密機制，也沒有任何駐留機制。

Rshell可執(zhí)行文件是標準后門，可以實現(xiàn)以下功能：

• 收集操作系統(tǒng)信息，并發(fā)送給C2服務(wù)器；
• 從C2服務(wù)器接收命令并執(zhí)行；
• 發(fā)送命令執(zhí)行結(jié)果給C2。

研究人員在分析過程中發(fā)現(xiàn)了多個版本，其中有針對macOS平臺的Macho格式，也有針對Linux平臺的ELF格式。最早的樣本上傳于2021年6月，首個受害者出現(xiàn)在2021年7月中旬。

收集的信息包括：

• GUID: 隨機生成的guid，保存在/tmp/guid
• 計算機名：uname (nodename)
• IP地址: (getifaddrs)
• 消息類型: login
• username: _getpwuid (pw_name)
• version: uname (release)

收集到這些信息后，后門會將其打包為二進制JSON（BJSON）消息，并發(fā)通過TCP以明文形式發(fā)送。

圖9 反序列化的BSON包

本文翻譯自：

• https://blog.sekoia.io/luckymouse-uses-a-backdoored-electron-app-to-target-macos/
• https://www.trendmicro.com/en_us/research/22/h/irontiger-compromises-chat-app-Mimi-targets-windows-mac-linux-users.html