自 2018 年以来,ShellClient 恶意软件以航空航天业为目标
ShellClient 恶意软件是一种新发现的远程访问木马,但它已经使用了两年多。其背后的罪犯以别名 MalKamak 进行追踪,而这一特定活动的重点是间谍活动。恶意威胁行为者针对活跃在欧洲、俄罗斯、美国和中东的主要公司和机构。 ShellClient 恶意软件的惊人之处在于,由于其低活动性和巧妙的设计,它在最终被识别和剖析之前设法保持了两年多的关注。 ShellClient 恶意软件的主要目标似乎是航空航天和电信行业的一部分。
ShellClient 恶意软件在 2 年内发生了重大变化
ShellClient 恶意软件的最新版本可追溯到 2021 年 5 月——这是一个明确的迹象,表明其开发人员一直在定期发布其有效负载的更新。当然,恶意软件的所有活动实例都会自动更新到最新的可用版本。此活动的另一个奇特之处在于,黑客将恶意软件伪装成合法的RuntimeBroker.exe进程。后一个过程是处理 Microsoft Store 应用程序权限的合法 Windows 组件。
关于 ShellClient 恶意软件的另一件重要的事情是它的初始变体更加简约。事实上,它充当了一个基本的反向 shell,使攻击者能够执行远程命令。然而,在两年多的时间里,它经历了重大变化,变成了一个成熟的、模块化的远程访问木马。
由于间谍活动是该威胁的主要焦点,其主要特征涉及远程代码执行和数据泄露。如上所述,它具有自动更新功能和模块化结构,从而使操作员能够轻松管理植入物。