08/10/21
Специалисты в области кибербезопасности из Cybereason Nocturnus сообщили о вредоносной кампании по кибершпионажу, действующей как минимум с 2018 года. Преступники в ходе кампании использовали вредоносное ПО ShellClient, представляющее собой троян для удаленного доступа (RAT).
Исследователи связали ShellClient с киберпреступной группировкой, получившей название MalKamak, которая использовала вредоносное ПО для разведывательных операций и кражи конфиденциальных данных у целей на Ближнем Востоке, в США, России и Европе.
ShellClient RAT появился в поле зрения ИБ-экспертов в июле во время анализа операции по кибершпионажу под названием Operation GhostShell. По словам экспертов, вредонос запускается на зараженных устройствах под видом легитимного процесса RuntimeBroker.exe, который помогает управлять разрешениями для приложений из Microsoft Store. Вариант ShellClient, используемый для операции Operation GhostShell, показывает дату компиляции 22 мая 2021 года и имеет версию 4.0.1.
Обнаружили исследователи, модификация вредоноса началась по крайней мере с ноября 2018 года «от простой автономной обратной оболочки до скрытого модульного инструмента для шпионажа». С каждой из шести обнаруженных итераций разработчики вредоносной программы увеличивали ее функциональность и переключались между несколькими протоколами и методами кражи данных (например, FTP-клиент, учетная запись Dropbox).
- Самый ранний вариант, разработанный в ноябре 2018 года, является менее сложным и действующим как простая обратная оболочка;
- Вариант V1, скомпилированный в ноябре 2018 года, имеет функции как клиента, так и сервера, добавляет новый метод обеспечения персистентности, маскируясь под службу обновления Защитника Windows;
- Вариант V2.1 скомпилирован в декабре 2018 и в нем добавлены клиенты FTP и Telnet, шифрование AES, а также функция самообновления;
- Вариант V3.1, скомпилированный в январе 2019 года, получил незначительные изменения и потерял серверную составляющую;
- Вариант V4.0.0, скомпилированный в августе 2021 года, имеет значительные изменения, такие как улучшенная обфускация кода и защита с помощью упаковщика Costura, удаление домена C&C-сервар, используемого с 2018 года, и добавление клиента Dropbox.
Эксперты пришли к выводу, что вредоносная программа управляется предположительно иранской группировкой, на что указывает совпадение стилей кода, именование условности и методы с другими иранскими группировками, в частности Chafer (APT39) и Agrius.
