ShellClient 악성코드

Infosec 연구원은 이전에 공개되지 않은 위협 행위자의 툴킷의 일부인 새로운 스파이 맬웨어를 발견했습니다. ShellClient라는 이름의 이 위협은 표적 사이버 스파이 활동에만 배포되는 것으로 보이는 원격 액세스 트로이 목마(RAT)입니다.

새로운 위협 행위자

ShellClient 맬웨어는 MalKamak으로 추적되는 별도의 사이버 범죄 그룹에 기인합니다. 해커는 미국, 러시아, EU 회원국 및 중동 국가를 포함한 다양한 국가의 표적에 대한 다양한 표적 정찰 공격에 책임이 있는 것으로 여겨집니다. 해커의 목표는 특별히 선택된 소수의 대상으로부터 매우 민감한 정보를 획득하는 것으로 보입니다. 코드, 명명 규칙 및 사용된 기술의 특정 중복은 MalKamak이 이란과 연결된 국가 사이버 범죄 그룹임을 나타냅니다.

위협적인 기능과 진화

ShellClient 맬웨어는 특히 은밀하게 설계되어 손상된 시스템에 장기간 존재하도록 합니다. 위협 요소는 'RuntimeBroker.exe'로 위장합니다. 합법적인 프로세스는 Microsoft Store 응용 프로그램에 대한 권한 관리를 담당합니다.

맬웨어의 초기 버전은 2018년으로 거슬러 올라가지만 그 당시 ShellClient는 매우 다른 위협이었습니다. 단순한 독립 실행형 리버스 셸이었습니다. 다음 해에 MalKamak 해커는 여러 버전의 멀웨어를 출시하여 후속 버전이 나올 때마다 이를 완전한 RAT로 변형시켰습니다. 예를 들어 4.0 반복에는 더 나은 코드 난독화, Costura 패커 사용, 2018년부터 사용된 C2 도메인 제거, Dropbox 클라이언트 추가가 포함되었습니다. 위협의 발달이 최종 지점에 도달했는지 여부는 두고 봐야 합니다.