ShellClient Malware

Infosec araştırmacıları, daha önce açıklanmayan bir tehdit aktörünün araç setinin bir parçası olan yeni bir casusluk kötü amaçlı yazılımı ortaya çıkardı. ShellClient adlı tehdit, yalnızca yüksek oranda hedeflenen siber casusluk operasyonlarında konuşlandırıldığı görünen bir Uzaktan Erişim Truva Atı (RAT).

Yeni Tehdit Aktörü

ShellClient kötü amaçlı yazılımı, MalKamak olarak izlenen ayrı bir siber suç grubuna atfediliyor. Bilgisayar korsanlarının ABD, Rusya, AB üyeleri ve Orta Doğu'daki ülkeler de dahil olmak üzere çok sayıda farklı ülkeden hedeflere yönelik bir dizi hedefli keşif saldırılarından sorumlu olduğuna inanılıyor. Bilgisayar korsanlarının amacı, özel olarak seçilmiş bir avuç hedeften son derece hassas bilgiler elde etmek gibi görünüyor. Kod, adlandırma kuralları ve kullanılan tekniklerdeki bazı örtüşmeler, MalKamak'ın İran'la bağlantıları olan bir ulus devlet siber suç grubu olduğuna işaret ediyor.

Tehdit Eden İşlevsellik ve Evrim

ShellClient kötü amaçlı yazılımı, özellikle gizli olacak şekilde tasarlanmıştır ve güvenliği ihlal edilmiş makinelerde uzun süre varlığını garanti eder. Tehdit kendisini 'RuntimeBroker.exe' olarak gizler. Microsoft Store uygulamaları için izin yönetiminden meşru süreç sorumludur.

Kötü amaçlı yazılımın en eski sürümleri 2018'e kadar uzanıyor, ancak o zamanlar ShellClient çok farklı bir tehditti - sadece basit bir bağımsız ters kabuk. Sonraki yıllarda, MalKamak bilgisayar korsanları, kötü amaçlı yazılımın çeşitli sürümlerini yayınladı ve onu her biri daha sonra tam teşekküllü bir RAT'a dönüştürdü. Örneğin 4.0 yinelemesi, daha iyi kod gizleme, Costura paketleyicinin kullanımı, 2018'den beri kullanılan C2 alanının kaldırılması ve bir Dropbox istemcisinin eklenmesini içeriyordu. Tehdidin gelişimi son bir noktaya ulaştıysa, görülmeye devam ediyor.