ShellClient Malware

Infosec-forskere har afsløret en ny spionage-malware, der er en del af værktøjskassen-a fra en tidligere ukendt trusselsaktør. Truslen hedder ShellClient og er en Trojan (Remote Access Trojan), der ser ud til kun at blive indsat i meget målrettede cyberspionage -operationer.

Ny trusselsskuespiller

ShellClient -malware tilskrives en separat cyberkriminalitetsgruppe, der spores som MalKamak. Hackerne menes at være ansvarlige for en række målrettede rekognosceringsangreb mod mål fra en lang række forskellige lande, herunder USA, Rusland, medlemmer af EU og lande i Mellemøsten. Hackernes mål ser ud til at være erhvervelse af meget følsom information fra en håndfuld specifikt udvalgte mål. Visse overlapninger i kode, navngivningskonventioner og de anvendte teknikker peger på, at MalKamak er en nationalstat-cyberkriminalitetsgruppe med forbindelser til Iran.

Truende funktionalitet og evolution

ShellClient -malware er designet til at være særlig snigende og sikre en langvarig tilstedeværelse på de kompromitterede maskiner. Truslen forklæder sig selv som 'RuntimeBroker.exe.' Den legitime proces er ansvarlig for tilladelsesstyring til Microsoft Store -applikationer.

De tidligste versioner af malware er dateret tilbage til 2018, men dengang var ShellClient en helt anden trussel - bare en simpel, selvstændig omvendt skal. I de følgende år udgav MalKamak-hackerne flere versioner af malware, der forvandlede den mere og mere til en fuldgyldig RAT med hver efterfølgende. Eksempelvis inkluderede 4.0 -iterationen bedre kode -tilsløring, brugen af Costura -pakkeren, fjernelsen af det C2 -domæne, der blev brugt siden 2018, og tilføjelsen af en Dropbox -klient. Hvis udviklingen af truslen har nået et sidste punkt, skal vi se.