Вредоносное ПО SoulSearcher

Вредоносная программа SoulSearcher представляет собой угрозу критического уровня, которая активно используется пока неизвестным злоумышленником. Группа хакеров, похоже, имеет доступ к значительному количеству ресурсов, что может указывать на то, что она спонсируется государством. Что касается самой угрозы SoulSearcher, то это компонент второго этапа, которому поручено доставлять полезную нагрузку конечной стадии на скомпрометированные системы.

Согласно отчету, SoulSearch и связанная с ним структура вредоносных модулей Soul восходят к 2017 году. Тогда угрозы были основаны на других вредоносных программах с открытым исходным кодом, таких как Gh0st RAT и NetBot. Однако киберпреступники быстро начали демонстрировать свой значительный опыт в этой области, перерабатывая свой арсенал угрожающих инструментов. В результате активной разработки угрозы быстро эволюционировали и теперь оснащены расширенным набором интрузивных функций. Варианты SoulSearcher, выпущенные с 2020 года, были описаны как особенно сложные.

Дроппер SoulSearcher изменил свое поведение с доставки извлеченных модулей полезной нагрузки на диск, на сохранение их в реестре и последующую полную загрузку в память. Его возможности также значительно выросли — последние версии могут загружать до четырех различных поврежденных модулей из реестра, по сравнению с одним в более ранних вариантах SoulSearcher.

Исследователи считают, что их нынешние результаты находятся на поверхностном уровне, и полностью ожидают, что злоумышленник на самом деле обладает еще большим набором угрожающих инструментов.