ShellClient Malware
इन्फोसेक के शोधकर्ताओं ने एक नए जासूसी मैलवेयर का खुलासा किया है जो टूलकिट का हिस्सा है-एक पहले से अज्ञात खतरे वाले अभिनेता का। नामित ShellClient, खतरा रिमोट एक्सेस ट्रोजन (आरएटी) है जो केवल अत्यधिक लक्षित साइबर जासूसी संचालन में तैनात किया जाता है।
न्यू थ्रेट एक्टर
ShellClient मैलवेयर को एक अलग साइबर अपराध समूह के लिए जिम्मेदार ठहराया जा रहा है जिसे मलकामक के रूप में ट्रैक किया जा रहा है। माना जाता है कि हैकर्स को अमेरिका, रूस, यूरोपीय संघ के सदस्यों और मध्य पूर्व के देशों सहित विभिन्न देशों के लक्ष्यों के खिलाफ लक्षित टोही हमलों की एक श्रृंखला के लिए जिम्मेदार माना जाता है। हैकर्स का लक्ष्य मुट्ठी भर विशेष रूप से चुने गए लक्ष्यों से अत्यधिक संवेदनशील जानकारी प्राप्त करना प्रतीत होता है। कोड में कुछ ओवरलैप, नामकरण परंपराएं, और नियोजित तकनीकें मलकामक को ईरान से कनेक्शन के साथ एक राष्ट्र-राज्य साइबर अपराध समूह होने की ओर इशारा करती हैं।
धमकी की कार्यक्षमता और विकास
ShellClient मैलवेयर को विशेष रूप से गुप्त रूप से डिज़ाइन किया गया है, जिससे समझौता मशीनों पर लंबे समय तक उपस्थिति सुनिश्चित होती है। खतरा खुद को 'RuntimeBroker.exe' के रूप में प्रच्छन्न करता है। वैध प्रक्रिया Microsoft Store अनुप्रयोगों के लिए अनुमति प्रबंधन के लिए ज़िम्मेदार है।
मैलवेयर के शुरुआती संस्करण 2018 से पहले के हैं, लेकिन उस समय, ShellClient एक बहुत ही अलग खतरा था - बस एक साधारण स्टैंडअलोन रिवर्स शेल। बाद के वर्षों में, मलकामक हैकर्स ने मैलवेयर के कई संस्करण जारी किए और प्रत्येक बाद के एक के साथ इसे पूरी तरह से विकसित आरएटी में बदल दिया। उदाहरण के लिए, 4.0 पुनरावृत्ति में बेहतर कोड अस्पष्टता, कॉस्टुरा पैकर का उपयोग, 2018 के बाद से उपयोग किए गए C2 डोमेन को हटाना और ड्रॉपबॉक्स क्लाइंट को शामिल करना शामिल था। यदि खतरे का विकास अंतिम बिंदु पर पहुंच गया है तो देखा जाना बाकी है।
