ShellClient Вредоносное ПО

Исследователи Infosec обнаружили новую шпионскую вредоносную программу, которая является частью набора инструментов ранее неизвестного злоумышленника. Угроза, получившая название ShellClient, представляет собой троян удаленного доступа (RAT), который, по-видимому, может быть развернут только в очень целевых операциях кибершпионажа.

Новый Угрожающий Актер

Вредоносное ПО ShellClient относится к отдельной группе киберпреступлений, которая отслеживается как MalKamak. Считается, что хакеры несут ответственность за ряд целевых разведывательных атак против целей из множества разных стран, включая США, Россию, членов ЕС и страны Ближнего Востока. Похоже, что целью хакеров является получение конфиденциальной информации от нескольких специально выбранных целей. Определенные совпадения в коде, соглашениях об именах и используемых методах указывают на то, что МалКамак является киберпреступной группой национального государства, имеющей связи с Ираном.

Угрожающая функциональность и развитие

Вредоносное ПО ShellClient разработано так, чтобы быть особенно незаметным, обеспечивая длительное присутствие на скомпрометированных машинах. Угроза маскируется под RuntimeBroker.exe. Законный процесс отвечает за управление разрешениями для приложений Microsoft Store.

Самые ранние версии вредоносного ПО датируются 2018 годом, но тогда ShellClient представлял собой совсем другую угрозу - всего лишь простую автономную обратную оболочку. В последующие годы хакеры MalKamak выпустили несколько версий вредоносной программы, с каждой последующей трансформацией ее все больше и больше в полноценный RAT. Например, итерация 4.0 включала улучшенную обфускацию кода, использование упаковщика Costura, удаление домена C2, используемого с 2018 года, и добавление клиента Dropbox. Пока не ясно, дошло ли развитие угрозы до конечной точки.