ShellClientマルウェアは2018年以降航空宇宙産業を標的にしています

ShellClient Malwareは、新たに発見されたリモートアクセス型トロイの木馬ですが、2年以上使用されています。その背後にいる犯罪者は別名MalKamakで追跡されており、この特定のキャンペーンはスパイ活動に焦点を当てています。悪意のある脅威アクターは、ヨーロッパ、ロシア、米国、および中東で活動している主要な企業や機関を追いかけました。 ShellClient Malwareの素晴らしい点は、アクティビティが少なく、巧妙な設計であるため、最終的に特定されて分析されるまで2年以上レーダーの下にとどまっていたことです。 ShellClientマルウェアの主な標的は、航空宇宙および電気通信業界の一部だったようです。

ShellClientマルウェアは2年間で大きな変化を遂げました

ShellClientマルウェアの最新ビルドは2021年5月にさかのぼります。これは、開発者がペイロードの更新を定期的にリリースしていることの確かな兆候です。当然、マルウェアのすべてのアクティブなインスタンスは、利用可能な最新バージョンに自動的に更新されました。このキャンペーンのもう1つの特徴は、ハッカーがマルウェアを正当なRuntimeBroker.exeプロセスに偽装したことです。後者のプロセスは、MicrosoftStoreアプリのアクセス許可を処理する正規のWindowsコンポーネントです。

ShellClientマルウェアについて追加するもう1つの重要な点は、その最初の亜種がはるかに最小限であったことです。実際、攻撃者がリモートコマンドを実行できるようにする基本的なリバースシェルとして機能しました。ただし、2年間で大きな変更が加えられ、本格的なモジュール式のリモートアクセス型トロイの木馬になりました。

スパイ活動がこの脅威の主な焦点であるため、その主な機能には、リモートでのコード実行とデータの漏えいが含まれます。前述のように、自動更新機能とモジュラー構造を備えているため、オペレーターはインプラントを簡単に管理できます。