ShellClient 惡意軟件
信息安全研究人員發現了一種新的間諜惡意軟件,它是以前未公開的威脅參與者的工具包的一部分。該威脅名為 ShellClient,是一種遠程訪問木馬 (RAT),它似乎僅部署在高度針對性的網絡間諜活動中。
新威脅演員
ShellClient 惡意軟件被歸因於一個單獨的網絡犯罪組織,該組織被跟踪為 MalKamak。據信,黑客對來自多個不同國家的目標進行了一系列有針對性的偵察攻擊,包括美國、俄羅斯、歐盟成員國和中東國家。黑客的目標似乎是從少數特定選擇的目標中獲取高度敏感的信息。代碼、命名約定和採用的技術方面的某些重疊表明 MalKamak 是一個與伊朗有聯繫的民族國家網絡犯罪集團。
威脅功能和進化
ShellClient 惡意軟件設計得特別隱蔽,可確保在受感染的機器上長時間存在。該威脅偽裝成“RuntimeBroker.exe”。合法進程負責 Microsoft Store 應用程序的權限管理。
該惡意軟件的最早版本可以追溯到 2018 年,但當時,ShellClient 是一種非常不同的威脅 - 只是一個簡單的獨立反向 shell。在接下來的幾年中,MalKamak 黑客發布了多個版本的惡意軟件,並在隨後的每個版本中將其越來越多地轉變為成熟的 RAT。例如,4.0 迭代包括更好的代碼混淆、Costura 打包器的使用、自 2018 年以來使用的 C2 域的刪除以及 Dropbox 客戶端的添加。威脅的發展是否已經到了最後點還有待觀察。
