Иранские хакеры атаковали аэрокосмические и телеком компании

[душман]

Специалисты в области кибербезопасности из Cybereason Nocturnus сообщили о вредоносной кампании по кибершпионажу, действующей как минимум с 2018 года. Преступники в ходе кампании использовали вредоносное ПО ShellClient, представляющее собой троян для удаленного доступа (RAT).

Исследователи связали ShellClient с киберпреступной группировкой, получившей название MalKamak, которая использовала вредоносное ПО для разведывательных операций и кражи конфиденциальных данных у целей на Ближнем Востоке, в США, России и Европе.

ShellClient RAT появился в поле зрения ИБ-экспертов в июле во время анализа операции по кибершпионажу под названием Operation GhostShell. По словам экспертов, вредонос запускается на зараженных устройствах под видом легитимного процесса RuntimeBroker.exe, который помогает управлять разрешениями для приложений из Microsoft Store. 

Вариант ShellClient, используемый для операции Operation GhostShell, показывает дату компиляции 22 мая 2021 года и имеет версию 4.0.1. Исследователи обнаружили, модификация вредоноса началась по крайней мере с ноября 2018 года «от простой автономной обратной оболочки до скрытого модульного инструмента для шпионажа». 

С каждой из шести обнаруженных итераций разработчики вредоносной программы увеличивали ее функциональность и переключались между несколькими протоколами и методами кражи данных (например, FTP-клиент, учетная запись Dropbox).

Эксперты пришли к выводу, что вредоносная программа управляется предположительно иранской группировкой, на что указывает совпадение стилей кода, именование условности и методы с другими иранскими группировками, в частности Chafer (APT39) и Agrius.