Tehdit araştırmacıları havacılık ve telekomünikasyon sektörlerindeki şirketleri hedeflemek için kullanılan kötü amaçlı yazılımları araştıran, Siber casusluk kampanyaları en az 2018'den bu yana çalıştıran yeni bir tehdit aktörünü keşfetti.
ShellClient'i boşalttı, kötü amaçlı yazılım, gizli ve "yüksek hedefli siber casusluk işlemleri" için odaklanmaya odaklanmaya odaklanan önceden belgesiz bir uzaktan erişim Trojan (sıçan).
Araştırmacılar, keşif operasyonları için kullandığı daha önce açıklanmayan bir tehdit aktörüne ve Orta Doğu'daki, ABD, Rusya ve Avrupa'daki hedeflerden duyarlı verileri çalmak için daha önce açıklanmayan bir tehdit aktörüne ShellClient'i Malkamak'a atfeder.
ShellClient Rat, Temmuz ayında Tehdit Araştırmacılarının radarında, şu anda Ghostshell'in operasyonu olarak adlandırılan siber casusluk faaliyetlerini ortaya koyan bir olayla ilgili bir sözleşme sırasında ortaya çıktı.
Cyberason Nocturnus ve olay müdahale ekipleri kötü amaçlı yazılımı analiz etti ve "runtimebroker.exe" olarak gizlenmiş olan enfekte makinelerde çalıştığını gözlemledi.
Ghostshell işletim için kullanılan ShellClient varyantı, 22 Mayıs 2021'lik bir derleme tarihini göstermektedir ve 4.0.1 sürümüne göre adlandırılır.
Araştırmacılar, evriminin en azından Kasım 2018'den bu yana başladığını, "basit bir bağımsız ters kabuğundan gizli bir modüler casusluk aracına kadar başladığını buldular."
Keşfedilen altı yineleme her biri ile, kötü amaçlı yazılım işlevselliğini arttırdı ve çeşitli protokoller arasına geçti (örneğin bir FTP istemcisi, Dropbox hesabı):
Araştırılmasında Cyberason, ShellClient'i bilinen bir rakip haline getirebilecek, ancak kötü amaçlı yazılımların, MALKAMAK'yı adlandırdıkları yeni bir ulus-devlet grubu tarafından işletilmekte olup, muhtemelen İranlı bilgisayar korsanlarına bağlı olan, kod stili örtüşme, adlandırılarak Sözleşmeler ve teknikler.
"Bilinen İran tehdidi aktörlerine yapılan bazı olası bağlantılar gözlendi, sonuçlarımız Malkaman'ın yeni ve belirgin bir faaliyet grubu olduğu, diğer bilinen İran tehdidi aktörlerinden ayıran benzersiz özelliklerle" - Cyberason'dur.
Araştırmacılar, Malkaman'ın, 2018'den bu yana vahşi veya telemetri verilerinde keşfedilen düşük numune sayısının desteklediği bir teori, yüksek hedefli siber casusluk operasyonlarına odaklandığını söylüyor.
Ayrıca, bazı shellctients örneklerinde mevcut olan dosyaları hata ayıklama yolu, kötü amaçlı yazılımların bir askeri veya istihbarat ajansından gizli bir projenin parçası olduğunu göstermektedir.
Cyberason, Malkaman'ın nasıl yürüdüğü, yetenekleri, altyapısı ve ilgilendiği kurban türlerinin kısa bir özetini yarattı.
Cybeaseason, açığa çıktıkları, komut ve kontrol sunucuları, kullanıcı ajanları, şifreleme anahtarları ve ilgili dosyalar için tüm sürümler ve shellclient örnekleri için uzlaşma göstergelerine sunulur.
Ayrı bir teknik belgede, araştırmacılar, olay tepkisi sözleşmeleri sırasında buldukları tüm varyantların tam bir analizini sunar.
Rus devlet bilgisayar korsanları, ikincil arka kapı olarak yeni Tinyturla kötü amaçlı yazılım kullanıyor
Govt Hackers, İK çalışanlarını İsrail hedeflerine vurmak için taklit eder.
Fake Af Örgütü Uluslararası Pegasus Tarayıcı, Windows'u enfekte etmek için kullanılır
Ghostemperor Hackers, Saldırılarda Yeni Windows 10 Rootkit'i kullanıyor
HACKING GROUP Ikinci el araç Proxylogon Worldwide Breach Otelleri
Kaynak: Bleeping Computer