ShellClient 恶意软件
信息安全研究人员发现了一种新的间谍恶意软件,它是以前未公开的威胁参与者的工具包的一部分。该威胁名为 ShellClient,是一种远程访问木马 (RAT),它似乎仅部署在高度针对性的网络间谍活动中。
新威胁演员
ShellClient 恶意软件被归因于一个单独的网络犯罪组织,该组织被跟踪为 MalKamak。据信,黑客对来自多个不同国家的目标进行了一系列有针对性的侦察攻击,包括美国、俄罗斯、欧盟成员国和中东国家。黑客的目标似乎是从少数特定选择的目标中获取高度敏感的信息。代码、命名约定和采用的技术方面的某些重叠表明 MalKamak 是一个与伊朗有联系的民族国家网络犯罪集团。
威胁功能和进化
ShellClient 恶意软件设计得特别隐蔽,可确保在受感染的机器上长时间存在。该威胁伪装成“RuntimeBroker.exe”。合法进程负责 Microsoft Store 应用程序的权限管理。
该恶意软件的最早版本可以追溯到 2018 年,但当时,ShellClient 是一种非常不同的威胁 - 只是一个简单的独立反向 shell。在接下来的几年里,MalKamak 黑客发布了多个版本的恶意软件,每一个后续版本都将其越来越多地转变为成熟的 RAT。例如,4.0 迭代包括更好的代码混淆、Costura 打包器的使用、自 2018 年以来使用的 C2 域的删除以及 Dropbox 客户端的添加。威胁的发展是否已经到了最后点还有待观察。
