ShellClientマルウェア

Infosecの研究者は、ツールキットの一部である新しいスパイマルウェアを発見しました。これは、これまで公開されていなかった脅威アクターの1つです。 ShellClientという名前の脅威は、リモートアクセストロイの木馬（RAT）であり、標的を絞ったサイバースパイ活動にのみ展開されているようです。

新しい脅威アクター

ShellClientマルウェアは、MalKamakとして追跡されている別のサイバー犯罪グループに起因しています。ハッカーは、米国、ロシア、EU加盟国、中東諸国など、さまざまな国の標的に対するさまざまな標的偵察攻撃の原因であると考えられています。ハッカーの目標は、特別に選択された少数のターゲットから非常に機密性の高い情報を取得することであるように思われます。コード、命名規則、および採用されている手法の特定の重複は、MalKamakがイランと関係のある国民国家のサイバー犯罪グループであることを示しています。

機能性と進化を脅かす

ShellClientマルウェアは、特にステルスになるように設計されており、侵入先のマシンに長期間存在することを保証します。脅威は「RuntimeBroker.exe」になりすます。正当なプロセスは、MicrosoftStoreアプリケーションのアクセス許可管理を担当します。

マルウェアの最も初期のバージョンは2018年にさかのぼりますが、当時、ShellClientは非常に異なる脅威でした。単純なスタンドアロンのリバースシェルです。翌年、MalKamakハッカーはマルウェアのいくつかのバージョンをリリースし、それを本格的なRATに変換し、その後のマルウェアを1つずつリリースしました。たとえば、4.0の反復には、コードの難読化の改善、Costuraパッカーの使用、2018年以降に使用されていたC2ドメインの削除、Dropboxクライアントの追加が含まれていました。脅威の発生が最終段階に達した場合は、まだ確認されていません。