ShellClient Malware

Infosec-forskare har avslöjat en ny spionage-skadlig kod som är en del av verktygslådan-a från en tidigare okänd hotaktör. Hotet heter ShellClient och är en fjärråtkomst -trojan (RAT) som verkar vara utplacerad endast i mycket målinriktade cyberspionage -operationer.

Ny hotskådespelare

ShellClient -skadlig programvara tillskrivs en separat cyberbrottsgrupp som spåras som MalKamak. Hackarna tros vara ansvariga för en rad riktade spaningsattacker mot mål från en mängd olika länder, inklusive USA, Ryssland, medlemmar i EU och länder i Mellanöstern. Hackarnas mål verkar vara att förvärva mycket känslig information från en handfull specifikt utvalda mål. Vissa överlappningar i kod, namngivningskonventioner och de använda teknikerna pekar mot att MalKamak är en nationell cyberbrottsgrupp med kopplingar till Iran.

Hotande funktionalitet och utveckling

ShellClient -skadlig programvara är utformad för att vara särskilt smygande och säkerställa en långvarig närvaro på de komprometterade maskinerna. Hotet förklarar sig som 'RuntimeBroker.exe.' Den legitima processen är ansvarig för behörighetshantering för Microsoft Store -program.

De tidigaste versionerna av skadlig programvara dateras tillbaka till 2018, men då var ShellClient ett helt annat hot - bara ett enkelt fristående omvänd skal. Under de följande åren släppte MalKamak-hackarna flera versioner av skadlig programvara som förvandlade den mer och mer till en fullvärdig RAT med varje efterföljande. Till exempel inkluderade 4.0 -iterationen bättre kodförtydligande, användning av Costura -paketet, borttagning av C2 -domänen som använts sedan 2018 och tillägg av en Dropbox -klient. Om hotets utveckling har nått en sista punkt återstår att se.