國內即時消息應用MiMi被植入后門，攻擊安卓、iOS、Windows和macOS平臺。

MiMi

MiMi是一款主要針對國內用戶的即時消息應用，有Windows、macOS、安卓和iOS版本。桌面版用ElectronJS框架開發，該框架是依賴node.js的跨平臺框架，允許開發者使用HTML、JS和CSS創建應用。

MiMi并沒有進行推廣，網站(www.mmimchat[.]com)只有一個下載鏈接，沒有詳細的介紹，也沒有社交媒體推廣鏈接。

圖1 Mimi網站（www.mmimchat[.]com）

網站的最近修改時間是7月26日。根據蘋果應用試點修改日志和被動DNS記錄，研究人員發現該應用最早可以追溯到2020年6月。

MiMi被植入后門

macOS版本的MiMi在蘋果鏡像文件中打包了ElectronApp。該應用看似功能正常，但是用戶注冊后發現無法用聯系人聊天。在2022年5月26日發布的2.3.0版本中，./mimi.app/Contents/Resources/app/electron-main.js文件被木馬化了。如下所示，是通過在module.exports 函數的開始處放置的Dean Edwards Packed JavaScript代碼實現的：

圖2  被注入后門的electron-main.js文件

該代碼執行時會檢查環境是否是macOS，然后從139.180.216.65下載rshell。提取的payload會下載temp文件夾中，修改為具有執行權限，然后執行。反混淆后的代碼如下所示：

圖3 負責下載和執行Rshell的代碼

SEKOIA研究人員分析發現當前版本的Windows、iOS和安裝版本中沒有后門。但TrendMicro研究人員發現老版本的Linux和Windows版本也被植入后門。

6月，TrendMicro研究人員下載了MiMi macOS v2.3.2版本，沒有發現什么異常。之后再次下載，發現安裝包被惡意版本替換。說明攻擊者直接訪問了部署安裝器的服務器，而且攻擊者監控了MiMi開發者的發布版本，以便及時插入后門。

圖4 下載的安裝器（左）和被植入后門的安裝器（右）

從圖中可以看出，攻擊者大約用了1個半小時就修改了合法的安裝器并添加了惡意代碼。而之前的版本，攻擊者大約花了一天來注入惡意修改。修改同樣是針對electron-main.js文件。

圖5 插入2.3.2 dmg的惡意JS代碼

圖6 反混淆的惡意JS代碼

圖 7 插入2.2.0 exe中的惡意JS代碼，攻擊Windows 操作系統

圖 8 2.2.0 exe版本中反混淆的惡意JS代碼

可以看出，會下載一個可執行文件、一個DLL文件和一個二進制文件到臨時目錄。這是攻擊者加載文件、利用DLL側信道漏洞的常用方式。本例中利用的可執行文件屬于DESlock+產品。

RShell

下載的木馬是RShell，是用C++編寫的，并嵌入到Boost.Asio 和 nlohmann/json庫中。后門使用基于TCP包的BJSON來與命令和控制服務器通信，沒有使用加密機制，也沒有任何駐留機制。

Rshell可執行文件是標準后門，可以實現以下功能：

• 收集操作系統信息，并發送給C2服務器；
• 從C2服務器接收命令并執行；
• 發送命令執行結果給C2。

研究人員在分析過程中發現了多個版本，其中有針對macOS平臺的Macho格式，也有針對Linux平臺的ELF格式。最早的樣本上傳于2021年6月，首個受害者出現在2021年7月中旬。

收集的信息包括：

• GUID: 隨機生成的guid，保存在/tmp/guid
• 計算機名：uname (nodename)
• IP地址: (getifaddrs)
• 消息類型: login
• username: _getpwuid (pw_name)
• version: uname (release)

收集到這些信息后，后門會將其打包為二進制JSON（BJSON）消息，并發通過TCP以明文形式發送。

圖9 反序列化的BSON包

本文翻譯自：

• https://blog.sekoia.io/luckymouse-uses-a-backdoored-electron-app-to-target-macos/
• https://www.trendmicro.com/en_us/research/22/h/irontiger-compromises-chat-app-Mimi-targets-windows-mac-linux-users.html