Οι “threat researchers” που ερευνούν malware που χρησιμοποιείται για τη στόχευση εταιρειών στον τομέα της αεροδιαστημικής και των τηλεπικοινωνιών ανακάλυψαν έναν νέο απειλητικό παράγοντα που διεξάγει καμπάνιες κατασκοπείας στον κυβερνοχώρο από το 2018 τουλάχιστον. Με το όνομα ShellClient, το malware είναι ένα trojan απομακρυσμένης πρόσβασης (RAT) που δημιουργήθηκε με έμφαση στο να είναι κρυφό και για «εξαιρετικά στοχευμένες επιχειρήσεις κατασκοπείας στον κυβερνοχώρο».

Οι ερευνητές απέδωσαν το ShellClient στο MalKamak, έναν άγνωστο απειλητικό παράγοντα που το χρησιμοποίησε για επιχειρήσεις αναγνώρισης και για κλοπή ευαίσθητων δεδομένων από στόχους στη Μέση Ανατολή, τις ΗΠΑ, τη Ρωσία και την Ευρώπη.

Δείτε επίσης: Πώς ένα σφάλμα coding μετατρέπει τα AirTags σε διανομείς malware

Δείτε επίσης: Android malware έχει κλέψει χρήματα από 10 εκατομμύρια χρήστες!

Το Stealthy RAT είναι ενεργό από το 2018

Το ShellClient RAT εμφανίστηκε στο ραντάρ των ερευνητών απειλών τον Ιούλιο κατά τη διάρκεια μιας εμπλοκής αντιμετώπισης περιστατικών που αποκάλυψε δραστηριότητα κατασκοπείας στον κυβερνοχώρο που τώρα αναφέρεται ως Operation GhostShell.

Οι ομάδες Cybereason Nocturnus και Incident Response ανέλυσαν το malware και παρατήρησαν ότι λειτουργούσε σε μολυσμένα μηχανήματα μεταμφιεσμένα ως “RuntimeBroker.exe”, μια νόμιμη διαδικασία που βοηθά στη διαχείριση αδειών για εφαρμογές από το Microsoft Store.

Η παραλλαγή ShellClient που χρησιμοποιείται για τη λειτουργία GhostShell εμφανίζει ημερομηνία συλλογής 22 Μαΐου 2021 και αναφέρεται ως έκδοση 4.0.1.

Οι ερευνητές διαπίστωσαν ότι η εξέλιξή του ξεκίνησε τουλάχιστον από τον Νοέμβριο του 2018 «από ένα απλό αυτόνομο reverse shell σε ένα κρυφό εργαλείο κατασκοπείας».

Με κάθε μία από τις έξι iterations που ανακαλύφθηκαν, το malware αύξησε τη λειτουργικότητά του και άλλαξε μεταξύ πολλών πρωτοκόλλων και μεθόδων για το data exfiltration (π.χ. FTP client, λογαριασμός Dropbox):

  • Η παλαιότερη παραλλαγή, που συντάχθηκε τον Νοέμβριο του 2018 – λιγότερο εξελιγμένη, λειτουργεί ως ένα απλό reverse shell
  • Η παραλλαγή V1, που καταρτίστηκε τον Νοέμβριο του 2018 – έχει λειτουργίες τόσο client όσο και server, προσθέτει νέα μέθοδο persistence που αποκρύπτεται ως υπηρεσία ενημέρωσης του Windows Defender
  • Η παραλλαγή V2.1, που καταρτίστηκε τον Δεκέμβριο του 2018 – προσθέτει clients FTP και Telnet, κρυπτογράφηση AES, λειτουργία αυτόματου update
  • Η παραλλαγή V3.1, που καταρτίστηκε τον Ιανουάριο του 2019 – μικρές τροποποιήσεις, καταργεί το server component
  • Η παραλλαγή V4.0.0, που καταρτίστηκε τον Αύγουστο του 2021 – σηματοδοτεί σημαντικές αλλαγές, όπως καλύτερο obfuscation και προστασία κώδικα μέσω του πακέτου Costura, εγκατάλειψη του C2 domain που χρησιμοποιείται από το 2018 και προσθήκη client Dropbox

Δείτε επίσης: FinFisher malware: Μολύνει το Windows Boot Manager με bootkit UEFI

Στην έρευνά του, η Cybereason έψαξε λεπτομέρειες που θα συνέδεαν το ShellClient με κάποιον γνωστό αντίπαλο, αλλά κατέληξε στο συμπέρασμα ότι το malware λειτουργεί από μια νέα ομάδα που ονομάζεται MalKamak, η οποία πιθανότατα συνδέεται με ιρανούς χάκερ, όπως υποδεικνύεται από το code style overlap και τις τεχνικές.

Οι ερευνητές λένε ότι η ομάδα MalKamak επικεντρώνεται σε επιχειρήσεις υψηλής κατασκοπείας στον κυβερνοχώρο, μια θεωρία που υποστηρίζεται από τον χαμηλό αριθμό δειγμάτων που ανακαλύφθηκαν από το 2018.

Επιπλέον, η διαδρομή για τον εντοπισμό σφαλμάτων αρχείων που διατίθεται σε ορισμένα δείγματα ShellClients υποδηλώνει ότι το malware αποτελεί μέρος ενός εμπιστευτικού project από στρατιωτική ή υπηρεσία πληροφοριών.

H Cybereason δημιούργησε μια σύντομη περίληψη του τρόπου λειτουργίας της MalKamak, των δυνατοτήτων της, της υποδομής της και των τύπων θυμάτων που την στοχεύει.

Πηγή πληροφοριών: bleepingcomputer.com