„ShellClient“ kenkėjiška programa skirta aviacijos ir kosmoso pramonei nuo 2018 m
„ShellClient“ kenkėjiška programa yra naujai atrastas nuotolinės prieigos Trojos arklys, kuris vis dėlto naudojamas daugiau nei dvejus metus. Už jos esantys nusikaltėliai yra sekami slapyvardžiu „MalKamak“, o šioje konkrečioje kampanijoje daugiausia dėmesio skiriama šnipinėjimui. Kenkėjiškos grėsmės veikėjai sekė stambias įmones ir įstaigas, veikiančias Europoje, Rusijoje, JAV ir Artimuosiuose Rytuose. Įspūdingas „ShellClient Malware“ dalykas yra tas, kad dėl mažo aktyvumo ir sumanaus dizaino ji sugebėjo ilgiau nei dvejus metus likti po radaru, kol ji buvo galutinai identifikuota ir išpjauta. Atrodo, kad pagrindiniai „ShellClient“ kenkėjiškų programų taikiniai buvo aviacijos ir telekomunikacijų pramonės dalys.
„ShellClient“ kenkėjiška programa labai pasikeitė per 2 metus
Naujausia „ShellClient“ kenkėjiškų programų kūrėjų versija buvo sukurta 2021 m. Gegužės mėn. - tai tikras ženklas, kad jos kūrėjai reguliariai skelbia naudingos apkrovos atnaujinimus. Natūralu, kad visi aktyvūs kenkėjiškų programų atvejai buvo automatiškai atnaujinti į naujausią turimą versiją. Kitas ypatingas šios kampanijos dalykas yra tai, kad įsilaužėliai užmaskuodavo kenkėjišką programą kaip teisėtą „ RuntimeBroker.exe“ procesą. Pastarasis procesas yra teisėtas „Windows“ komponentas, tvarkantis „Microsoft Store“ programų leidimus.
Kitas svarbus dalykas, kurį reikia pridurti apie „ShellClient Malware“, yra tas, kad jo pradinis variantas buvo daug minimalistiškesnis. Tiesą sakant, jis veikė kaip pagrindinis atvirkštinis apvalkalas, leidžiantis užpuolikams vykdyti nuotolines komandas. Tačiau per dvejus metus ji patyrė didelių pokyčių, paversdama ją visaverčiu moduliniu nuotolinės prieigos Trojos arkliu.
Kadangi šiai šnipinėjimui svarbiausia yra ši grėsmė, jos pagrindinės savybės apima nuotolinį kodo vykdymą ir duomenų išfiltravimą. Kaip minėta aukščiau, jis turi automatinio atnaujinimo funkciją ir modulinę struktūrą, todėl operatoriai gali lengvai valdyti implantą.