SoulSearcher Malware

De SoulSearcher-malware is een dreiging op kritiek niveau die actief wordt gebruikt door een tot nu toe niet-geïdentificeerde dreigingsactor. De hackergroep lijkt toegang te hebben tot een aanzienlijke hoeveelheid middelen, een mogelijke indicator dat ze door de staat worden gesponsord. Wat betreft de SoulSearcher-dreiging zelf, het is een component van de tweede fase die belast is met het leveren van eindfase-payloads op de aangetaste systemen.

Volgens een rapport dateren SoulSearcher en het bijbehorende framework van Soul -malwaremodules uit 2017. Destijds waren de bedreigingen gebaseerd op andere open-source malware, zoals de Gh0st RAT en NetBot. De cybercriminelen begonnen echter al snel hun aanzienlijke expertise in het veld te tonen door hun arsenaal aan bedreigende tools te herwerken. Als gevolg van de actieve ontwikkeling zijn de bedreigingen snel geëvolueerd en zijn ze nu uitgerust met een uitgebreid scala aan opdringerige functies. De SoulSearcher-varianten die sinds 2020 zijn uitgebracht, zijn beschreven als bijzonder ingewikkeld.

De SoulSearcher-dropper veranderde zijn gedrag van het afleveren van de opgehaalde payload-modules op de schijf, het opslaan in het register en het vervolgens volledig in het geheugen laden. De mogelijkheden zijn ook aanzienlijk gegroeid - de nieuwste versies kunnen tot vier verschillende beschadigde modules uit het register laden, vergeleken met slechts één in de eerdere varianten van SoulSearcher.

De onderzoekers zijn van mening dat hun huidige bevindingen slechts oppervlakkig zijn en verwachten volledig dat de dreigingsactor daadwerkelijk over een nog grotere bedreigingstoolkit beschikt.