ShellClient-Malware

Forscher von Infosec haben eine neue Spionage-Malware entdeckt, die Teil des Toolkits eines bisher unbekannten Bedrohungsakteurs ist. Die Bedrohung mit dem Namen ShellClient ist ein Remote-Access-Trojaner (RAT), der anscheinend nur bei sehr gezielten Cyberspionage-Operationen eingesetzt wird.

Neuer Bedrohungsschauspieler

Die ShellClient-Malware wird einer separaten Gruppe von Cyberkriminellen zugeschrieben, die als MalKamak verfolgt wird. Die Hacker sollen für eine Reihe gezielter Aufklärungsangriffe gegen Ziele aus einer Vielzahl verschiedener Länder verantwortlich sein, darunter die USA, Russland, EU-Mitglieder und Länder im Nahen Osten. Das Ziel der Hacker scheint die Beschaffung hochsensibler Informationen von einer Handvoll gezielt ausgewählter Ziele zu sein. Bestimmte Überschneidungen in Code, Namenskonventionen und verwendeten Techniken deuten darauf hin, dass MalKamak eine nationalstaatliche Cyberkriminalitätsgruppe mit Verbindungen zum Iran ist.

Bedrohliche Funktionalität und Evolution

Die ShellClient-Malware ist besonders heimlich konzipiert und gewährleistet eine längere Präsenz auf den kompromittierten Maschinen. Die Bedrohung tarnt sich als 'RuntimeBroker.exe'. Der legitime Prozess ist für die Berechtigungsverwaltung für Microsoft Store-Anwendungen verantwortlich.

Die frühesten Versionen der Malware stammen aus dem Jahr 2018, aber damals war ShellClient eine ganz andere Bedrohung – nur eine einfache eigenständige Reverse-Shell. In den folgenden Jahren veröffentlichten die MalKamak-Hacker mehrere Versionen der Malware und verwandelten sie mit jeder weiteren immer mehr in eine vollwertige RAT. Die 4.0-Iteration umfasste beispielsweise eine bessere Code-Verschleierung, die Verwendung des Costura-Packers, die Entfernung der seit 2018 verwendeten C2-Domäne und die Hinzufügung eines Dropbox-Clients. Ob die Entwicklung der Bedrohung einen letzten Punkt erreicht hat, bleibt abzuwarten.