自 2018 年以來,ShellClient 惡意軟件以航空航天業為目標
ShellClient 惡意軟件是一種新發現的遠程訪問木馬,但它已經使用了兩年多。其背後的罪犯以別名 MalKamak 進行追踪,而這一特定活動的重點是間諜活動。惡意威脅行為者針對活躍在歐洲、俄羅斯、美國和中東的主要公司和機構。 ShellClient 惡意軟件的驚人之處在於,由於其低活動性和巧妙的設計,它在最終被識別和剖析之前設法保持了兩年多的關注。 ShellClient 惡意軟件的主要目標似乎是航空航天和電信行業的一部分。
ShellClient 惡意軟件在 2 年內發生了重大變化
ShellClient 惡意軟件的最新版本可追溯到 2021 年 5 月——這是一個明確的跡象,表明其開發人員一直在定期發布其有效負載的更新。當然,惡意軟件的所有活動實例都會自動更新到最新的可用版本。此活動的另一個奇特之處在於,黑客將惡意軟件偽裝成合法的RuntimeBroker.exe進程。後一個過程是處理 Microsoft Store 應用程序權限的合法 Windows 組件。
關於 ShellClient 惡意軟件的另一件重要的事情是它的初始變體更加簡約。事實上,它充當了一個基本的反向 shell,使攻擊者能夠執行遠程命令。然而,在兩年多的時間裡,它經歷了重大變化,變成了一個成熟的、模塊化的遠程訪問木馬。
由於間諜活動是該威脅的主要焦點,其主要特徵涉及遠程代碼執行和數據洩露。如上所述,它具有自動更新功能和模塊化結構,從而使操作員能夠輕鬆管理植入物。