Cybereason Nocturnus 和事件响应团队发现了一个复杂且以前未记录在案的远程访问木马 (RAT),称为 ShellClient,用于针对美国、中东、欧洲和俄罗斯的全球顶级航空航天和电信公司进行高度有针对性的网络间谍活动。
这些攻击是由一个新发现的伊朗国家资助的威胁组织实施的,该组织被称为 MalKamak,该组织至少自 2018 年以来一直在雷达下运作。
此操作已持续多年,年复一年地不断发展其恶意软件,同时成功规避大多数安全工具。ShellClient 的作者投入了大量精力,通过利用多种混淆技术并最近实施了用于命令和控制 (C2) 的 Dropbox 客户端,使其隐蔽地躲避防病毒和其他安全工具的检测,使其很难被检测到。通过研究 ShellClient 开发周期,Cybereason 研究人员能够观察 ShellClient 如何随着时间的推移从一个相当简单的反向 shell 演变为用于促进网络间谍活动的复杂 RAT。
在操作 GhostShell 中观察到的最新 ShellClient 版本遵循滥用基于云的存储服务的趋势 - 在这种情况下,流行的Dropbox 服务。ShellClient 作者使用 Dropbox 窃取被盗数据并向恶意软件发送命令。由于这种策略的简单性和有效融入合法网络流量的能力,威胁行为者越来越多地采用这种策略。最终,这一发现告诉研究人员许多有关的战术是先进攻击者正在使用打败的安全解决方案。
2021-10-09
2021-10-09
2021-10-08
2021-10-08
2021-10-08
2021-10-08
2021-10-08