ShellClient Malware

Badacze Infosec odkryli nowe złośliwe oprogramowanie szpiegowskie, które jest częścią zestawu narzędzi wcześniej nieujawnionego cyberprzestępcy. Zagrożenie nazwane ShellClient to trojan zdalnego dostępu (RAT), który wydaje się być wdrażany tylko w wysoce ukierunkowanych operacjach cyberszpiegowskich.

Nowy aktor groźby

Złośliwe oprogramowanie ShellClient jest przypisywane do odrębnej grupy cyberprzestępczej, śledzonej jako MalKamak. Uważa się, że hakerzy są odpowiedzialni za szereg ukierunkowanych ataków rozpoznawczych na cele z wielu różnych krajów, w tym USA, Rosji, członków UE i krajów Bliskiego Wschodu. Wydaje się, że celem hakerów jest pozyskanie bardzo poufnych informacji od kilku specjalnie wybranych celów. Pewne nakładanie się kodu, konwencji nazewnictwa i stosowanych technik wskazuje, że MalKamak jest państwową grupą cyberprzestępczą powiązaną z Iranem.

Groźna funkcjonalność i ewolucja

Złośliwe oprogramowanie ShellClient zostało zaprojektowane tak, aby było szczególnie ukryte, zapewniając dłuższą obecność na zaatakowanych maszynach. Zagrożenie maskuje się jako „RuntimeBroker.exe”. Prawidłowy proces odpowiada za zarządzanie uprawnieniami do aplikacji Microsoft Store.

Najwcześniejsze wersje tego szkodliwego oprogramowania pochodzą z 2018 roku, ale wtedy ShellClient był zupełnie innym zagrożeniem – po prostu zwykłą, samodzielną odwróconą powłoką. W kolejnych latach hakerzy MalKamak wypuścili kilka wersji szkodliwego oprogramowania, z każdą następną przekształcając go coraz bardziej w pełnoprawny RAT. Na przykład iteracja 4.0 obejmowała lepsze zaciemnianie kodu, użycie pakera Costura, usunięcie domeny C2 używanej od 2018 roku oraz dodanie klienta Dropbox. Jeśli rozwój zagrożenia doszedł do ostatecznego punktu, dopiero się okaże.