Kormányzati rendszereket is támad a CoolClient trójai

​Jelentős fejlesztéseket kapott az a CoolClient nevű trójai, amely egyes országokban már kormányzati informatikai rendszereket is célkeresztbe állított.
 

A kínai Mustang Panda kibercsoport legalább 2022 óta előszeretettel használja a kibertámadásai során a CoolClient kártékony programot annak érdekében, hogy a fertőzött rendszereken hátsó kaput nyisson, illetve azokról adatokat szivárogtasson ki.
 
Mint sok más malware, úgy a CoolClient is folyamatosan fejlődött, azonban a legutóbbi variánsa különösen nagy ráncfelvarrást kapott.
 
A Kaspersky biztonsági kutatói által vizsgált CoolClient változatról elmondható, hogy annak célja semmit sem változott a korábbi verziókhoz képest, ugyanakkor új modulokkal, valamint egy eddig ismeretlen rootkit összetevővel gyarapodott. Ezek révén még kifinomultabb módszerekkel és még nehezebben detektálható módon képes segíteni a támadókat.
 
A biztonsági cég szerint a CoolClient frissített variánsa egyebek mellett orosz, pakisztáni, mongol, maláj és mianmari kormányzati szervek elleni célzott támadásokban is szerephez jutott. Ezen incidensek során többnyire egy legitim Sangfor alkalmazás mögé rejtették el a káros kódokat a támadók, de korábban ilyen módon már visszaéltek például a Bitdefender, a VLC Media Player és az Ulead PhotoImpact alkalmazások ismertségével is.
 
A CoolClient az eddigiekhez hasonlóan alkalmas rendszerparaméterek összegyűjtésére és azok titkosított módon történő kiszivárogtatására. Az állandó jelenlétét a regisztrációs adatbázis manipulálásával, valamint ütemezett feladatok és Windows-os szolgáltatások létrehozásával biztosítja. Képes az UAC megkerülésére és jogosultsági szint emelés végrehajtására. Mindezek mellett megmaradtak az alábbi képességei:

• felhasználói adatok kiszivárogtatása
• webböngészőkben tárolt adatok ellopása
• billentyűleütések naplózása
• távolról kezdeményezett fájlműveletek végrehajtása
• TCP-tunneling
• reverse proxy létrehozás

 
A kártevő legújabb variánsa egy olyan új modullal is bővült, amely képes a vágólap folyamatos kémlelésére. A korábbiaknál jóval fejlettebb fájlkezelő modul került bele, amely immár alkalmas állományok tömörítésére, hálózati meghajtók felcsatolására és gyors fájlkeresésre is.
 
A károkozó új lehetőségeit egy szolgáltatás menedzsment modul is gyarapítja, ami Windows-os szolgáltatások távolról történő kezelését biztosítja. Ezt egészíti ki egy shell modul, amely egy rejtett cmd.exe folyamat ki- és bemenetét továbbítja a vezérlőszerverek felé, ezáltal teszi lehetővé a távoli parancsvégrehajtást.