ShellClient Malware målretter luftfartsindustrien siden 2018

ShellClient Malware er en nyopdaget fjernadgangstrojan, der dog har været i brug i over to år. Kriminelle bag det spores under aliaset MalKamak, og netop denne kampagne fokuserer på spionage. De ondsindede trusselsaktører gik efter store virksomheder og institutioner, der er aktive i Europa, Rusland, USA og Mellemøsten. Det spektakulære ved ShellClient Malware er, at på grund af sin lave aktivitet og kloge design lykkedes det at blive under radaren i over to år, før det endelig blev identificeret og dissekeret. Det ser ud til, at de primære mål for ShellClient Malware var dele af luftfarts- og telekommunikationsindustrien.

ShellClient Malware gennemgik store ændringer på 2 år

Den seneste build af ShellClient Malware daters tilbage til maj 2021 - dette er et sikkert tegn på, at udviklerne regelmæssigt har frigivet opdateringer til deres nyttelast. Alle aktive forekomster af malware blev naturligvis automatisk opdateret til den nyeste tilgængelige version. En anden ejendommelig ting ved denne kampagne er, at hackerne forklædte malware som den legitime RuntimeBroker.exe -proces. Sidstnævnte proces er en legitim Windows -komponent, der håndterer Microsoft Store -apptilladelser.

En anden vigtig ting at tilføje om ShellClient Malware er, at dens oprindelige variant var meget mere minimalistisk. Faktisk fungerede det som en grundlæggende reverse shell, der gjorde det muligt for angribere at udføre fjernkommandoer. Imidlertid gennemgik den over en toårsperiode store ændringer, der gjorde den til en fuldgyldig, modulær fjernadgangstrojaner.

Da spionage er denne trussels primære fokus, omfatter dens hovedfunktioner fjernudførelse af kode og dataeksfiltrering. Som nævnt ovenfor har den en automatisk opdateringsfunktion og en modulær struktur, hvilket gør det muligt for operatørerne let at styre implantatet.