ShellClient Malware Mål Aerospace Industry Sedan 2018

ShellClient Malware är en nyupptäckt fjärråtkomst -trojan som dock har använts i över två år. Kriminella bakom det spåras under aliaset MalKamak, och just den här kampanjen fokuserar på spionage. De skadliga hotaktörerna gick efter stora företag och institutioner verksamma i Europa, Ryssland, USA och Mellanöstern. Det spektakulära med ShellClient Malware är att den på grund av sin låga aktivitet och smarta design lyckades hålla sig under radarn i över två år innan den slutligen identifierades och dissekerades. Det verkar som om de främsta målen för ShellClient Malware var delar av flyg- och telekommunikationsindustrin.

ShellClient Malware genomgick stora förändringar på 2 år

Den senaste versionen av ShellClient Malware daters tillbaka till maj 2021 - detta är ett säkert tecken på att dess utvecklare regelbundet har släppt uppdateringar för sin nyttolast. Naturligtvis uppdaterades alla aktiva instanser av skadlig programvara automatiskt till den senaste tillgängliga versionen. En annan märklig sak med den här kampanjen är att hackarna förklädde skadlig programvara som den legitima RuntimeBroker.exe -processen. Den senare processen är en legitim Windows -komponent som hanterar Microsoft Store -appbehörigheter.

En annan viktig sak att tillägga om ShellClient Malware är att dess ursprungliga variant var mycket mer minimalistisk. Faktum är att det fungerade som ett grundläggande omvänd skal som gjorde det möjligt för angripare att utföra fjärrkommandon. Under en tvåårsperiod genomgick den dock stora förändringar som gjorde den till en fullfjädrad, modulär fjärråtkomst-trojan.

Eftersom spionage är detta hots främsta fokus, innebär dess huvudfunktioner fjärrkörning av kod och datafiltrering. Som nämnts ovan har den en automatisk uppdateringsfunktion och en modulär struktur, vilket gör det möjligt för operatörerna att enkelt hantera implantatet.