Последнее обновление 09.01.2023 — QGames
Исследователи угроз, исследующие вредоносное ПО, используемое для нацеливания на компании в аэрокосмическом и телекоммуникационном секторах, обнаружили нового злоумышленника, который проводит кампании кибершпионажа как минимум с 2018 года.
Вредоносная программа, получившая название ShellClient, представляет собой ранее недокументированный троян удаленного доступа (RAT), созданный с акцентом на скрытность и «узконаправленные операции кибершпионажа».
Исследователи приписали ShellClient МалКамаку, ранее неизвестному злоумышленнику, который использовал его для разведывательных операций и кражи конфиденциальных данных с целей на Ближнем Востоке, в США, России и Европе.
Stealthy RAT, активен с 2018
ShellClient RAT появился в поле зрения исследователей угроз в июле во время операции по реагированию на инциденты, в ходе которой была выявлена деятельность кибершпионажа, которая теперь называется Operation GhostShell.
Cybereason Nocturnus и группы реагирования на инциденты проанализировали вредоносное ПО и обнаружили, что оно запускается на зараженных машинах под видом «RuntimeBroker.exe», законного процесса, который помогает управлять разрешениями для приложений из Microsoft Store.
Вариант ShellClient, используемый для операции GhostShell, показывает дату компиляции 22 мая 2021 года и называется версией 4.0.1.
Исследователи обнаружили, что его эволюция началась по крайней мере с ноября 2018 года «от простой автономной обратной оболочки до скрытого модульного инструмента шпионажа».
С каждой из шести обнаруженных итераций вредоносная программа увеличивала свою функциональность и переключалась между несколькими протоколами и методами кражи данных (например, FTP-клиент, учетная запись Dropbox):
- Самый ранний вариант, собранный в ноябре 2018 года — менее сложный, действующий как простая обратная оболочка
- Вариант V1, скомпилированный в ноябре 2018 года, имеет функции как клиента, так и сервера, добавляет новый метод сохранения службы, скрытый как служба обновления Защитника Windows.
- Вариант V2.1, скомпилирован в декабре 2018 — добавляет клиентов FTP и Telnet, шифрование AES, функцию самообновления
- Вариант V3.1, скомпилированный в январе 2019 года — незначительные изменения, убирает серверную составляющую.
- Вариант V4.0.0, скомпилированный в августе 2021 года, отмечает значительные изменения, такие как улучшенная обфускация кода и защита с помощью упаковщика Costura, удаление домена C2, используемого с 2018 года, и добавление клиента Dropbox.
Новый противник APT
В своем расследовании Cybereason искала детали, которые могли бы связать ShellClient с известным противником, но пришла к выводу, что вредоносная программа управляется новой группой национального государства, которую они назвали MalKamak, которая, вероятно, связана с иранскими хакерами, на что указывает совпадение стилей кода, именование условности и методы.
«Хотя были обнаружены некоторые возможные связи с известными иранскими субъектами угроз, мы пришли к выводу, что МалКамак — это новая и особенная группа действий, с уникальными характеристиками, которые отличают ее от других известных иранских субъектов угрозы» — Cybereason.
Исследователи говорят, что MalKamak фокусируется на узконаправленных операциях кибершпионажа, и эта теория подтверждается небольшим количеством образцов, обнаруженных в дикой природе, или данными телеметрии с 2018 года.
Кроме того, путь для отладки файлов, доступный в некоторых образцах ShellClients, предполагает, что вредоносная программа является частью конфиденциального проекта военного или разведывательного агентства.
Cybereason создал краткое описание того, как работает MalKamak, его возможностей, инфраструктуры и типов жертв, которые его интересуют.
Cybereason предоставляет набор индикаторов компрометации для всех обнаруженных ими версий и образцов ShellClient, серверов управления и контроля, пользовательских агентов, ключей шифрования и связанных файлов.
В отдельном техническом документе исследователи предоставляют полный анализ всех вариантов, которые они обнаружили в ходе реагирования на инциденты.
