ShellClient Malware målretter romfartsindustrien siden 2018
ShellClient Malware er en nylig oppdaget fjerntilgangstrojaner som imidlertid har vært i bruk i over to år. Kriminelle bak den spores under aliaset MalKamak, og denne kampanjen fokuserer på spionasje. De ondsinnede trusselaktørene gikk etter store selskaper og institusjoner som er aktive i Europa, Russland, USA og Midtøsten. Det spektakulære med ShellClient Malware er at den på grunn av sin lave aktivitet og smarte design klarte å holde seg under radaren i over to år før den endelig ble identifisert og dissekert. Det ser ut til at hovedmålene for ShellClient Malware var deler av luftfarts- og telekommunikasjonsindustrien.
ShellClient Malware gjennomgikk store endringer på 2 år
Den siste versjonen av ShellClient Malware -datere tilbake til mai 2021 - dette er et sikkert tegn på at utviklerne regelmessig har gitt ut oppdateringer for nyttelasten. Naturligvis ble alle aktive forekomster av skadelig programvare automatisk oppdatert til den siste tilgjengelige versjonen. En annen spesiell ting med denne kampanjen er at hackerne forkledde skadelig programvare som den legitime RuntimeBroker.exe -prosessen. Sistnevnte prosess er en legitim Windows -komponent som håndterer Microsoft Store -apptillatelser.
En annen viktig ting å legge til om ShellClient Malware er at den opprinnelige varianten var mye mer minimalistisk. Faktisk fungerte det som et grunnleggende omvendt skall som gjorde det mulig for angriperne å utføre eksterne kommandoer. Imidlertid gjennomgikk den over en toårsperiode store endringer som gjorde den til en fullverdig, modulær fjerntilgangstrojaner.
Siden spionasje er denne trusselens hovedfokus, innebærer hovedfunksjonene ekstern kjøring av kode og dataeksfiltrering. Som nevnt ovenfor har den en automatisk oppdateringsfunksjon og en modulær struktur, slik at operatørene enkelt kan administrere implantatet.