SoulSearcher Malware

SoulSearcher Malware er en trussel på kritisk niveau, som bliver brugt aktivt af en hidtil uidentificeret trusselaktør. Hackergruppen ser ud til at have adgang til en betydelig mængde ressourcer, en potentiel indikator for at være statssponsoreret. Hvad angår selve SoulSearcher-truslen, er det en anden-fase-komponent, der har til opgave at levere slut-stadie-nyttelaster til de kompromitterede systemer.

Ifølge en rapport daterer SoulSearcher og dets tilknyttede rammer af Soul malware-moduler tilbage til 2017. Dengang var truslerne baseret på anden open source malware, såsom Gh0st RAT og NetBot. De cyberkriminelle begyndte dog hurtigt at vise deres betydelige ekspertise på området ved at omarbejde deres arsenal af truende værktøjer. Som et resultat af den aktive udvikling udviklede truslerne sig hurtigt og er nu udstyret med et udvidet udvalg af påtrængende funktioner. SoulSearcher-varianterne udgivet siden 2020 er blevet beskrevet som særligt indviklede.

SoulSearcher-dropperen ændrede sin adfærd fra at levere de hentede nyttelastmoduler til disken til at gemme den i registreringsdatabasen og efterfølgende indlæse den helt i hukommelsen. Dens muligheder voksede også betydeligt - de seneste versioner kan indlæse op til fire forskellige beskadigede moduler fra registreringsdatabasen, sammenlignet med kun ét i de tidligere SoulSearchers varianter.

Forskerne mener, at deres nuværende resultater kun er på overfladen og forventer fuldt ud, at trusselsaktøren faktisk besidder et endnu større truende værktøj.