ShellClient-malware

Infosec-onderzoekers hebben nieuwe spionagemalware ontdekt die deel uitmaakt van de toolkit-a van een voorheen onbekende dreigingsactor. Met de naam ShellClient, is de dreiging een Remote Access Trojan (RAT) die alleen lijkt te worden ingezet in zeer gerichte cyberspionage-operaties.

Nieuwe bedreigingsacteur

De ShellClient-malware wordt toegeschreven aan een afzonderlijke cybercriminaliteitsgroep die wordt gevolgd als MalKamak. De hackers worden verondersteld verantwoordelijk te zijn voor een reeks gerichte verkenningsaanvallen op doelen uit een groot aantal verschillende landen, waaronder de VS, Rusland, leden van de EU en landen in het Midden-Oosten. Het doel van de hackers lijkt het verkrijgen van zeer gevoelige informatie van een handvol specifiek gekozen doelen. Bepaalde overlappingen in code, naamgevingsconventies en de gebruikte technieken wijzen erop dat MalKamak een nationale cybercriminaliteitsgroep is met connecties met Iran.

Bedreigende functionaliteit en evolutie

De ShellClient-malware is ontworpen om bijzonder onopvallend te zijn en zorgt voor een langdurige aanwezigheid op de gecompromitteerde machines. De dreiging vermomt zich als 'RuntimeBroker.exe.' Het legitieme proces is verantwoordelijk voor het machtigingsbeheer voor Microsoft Store-toepassingen.

De vroegste versies van de malware dateren van 2018, maar toen was ShellClient een heel andere bedreiging - slechts een eenvoudige, op zichzelf staande omgekeerde shell. In de daaropvolgende jaren brachten de MalKamak-hackers verschillende versies van de malware uit en transformeerden ze het bij elke volgende meer en meer in een volwaardige RAT. De 4.0-iteratie omvatte bijvoorbeeld een betere code-verduistering, het gebruik van de Costura-packer, de verwijdering van het C2-domein dat sinds 2018 wordt gebruikt en de toevoeging van een Dropbox-client. Of de ontwikkeling van de dreiging een definitief punt heeft bereikt, valt nog te bezien.