Зловреден софтуер на ShellClient

Изследователи на Infosec откриха нов шпионски зловреден софтуер, който е част от инструментариума на един от неразкритите преди това участници в заплахата. Наречена ShellClient, заплахата е троянец за отдалечен достъп (RAT), който изглежда е внедрен само в високо целенасочени операции за кибершпионаж.

Нов актьор на заплахата

Зловредният софтуер ShellClient се приписва на отделна група за киберпрестъпления, която се проследява като MalKamak. Смята се, че хакерите са отговорни за редица целенасочени разузнавателни атаки срещу цели от множество различни държави, включително САЩ, Русия, членове на ЕС и страни от Близкия изток. Изглежда, че целта на хакерите е придобиването на високо чувствителна информация от шепа специално избрани цели. Някои припокривания в кода, конвенциите за именуване и използваните техники сочат, че MalKamak е група за киберпрестъпления от национална държава, свързана с Иран.

Заплашваща функционалност и еволюция

Зловредният софтуер ShellClient е проектиран да бъде особено скрит, като осигурява продължително присъствие на компрометираните машини. Заплахата се маскира като „RuntimeBroker.exe“. Легитимният процес е отговорен за управление на разрешения за приложения на Microsoft Store.

Най -ранните версии на зловредния софтуер датират от 2018 г., но тогава ShellClient беше много различна заплаха - просто обикновена самостоятелна обратна обвивка. През следващите години хакерите на MalKamak пуснаха няколко версии на зловредния софтуер, превръщайки го все повече и повече в пълноценна RAT с всяка следваща. Например итерацията 4.0 включва по -добро замъгляване на кода, използването на пакета Costura, премахването на домейна C2, използван от 2018 г., и добавянето на клиент на Dropbox. Остава да видим дали развитието на заплахата е достигнало крайна точка.