سوء استفاده از ابزار تیم قرمز Shellter در حملات بدافزاری

پروژه Shellter، تولیدکننده ابزار لودر تجاری برای اجتناب از آنتی‌ویروس و EDR در تست‌های نفوذ، تایید کرده که هکرها از محصول Shellter Elite خود در حملات استفاده کرده‌اند، پس از اینکه یک مشتری نسخه‌ای از این نرم‌افزار را فاش کرده است.

این سوءاستفاده برای چندین ماه ادامه داشته و با اینکه محققان امنیتی این فعالیت را در دنیای واقعی شناسایی کرده‌اند، Shellter هیچ اطلاع‌رسانی در این زمینه دریافت نکرده است.

تولیدکننده تأکید کرد که این اولین مورد شناخته‌شده از سوءاستفاده از زمان معرفی مدل صدور مجوز سختگیرانه خود در فوریه ۲۰۲۳ است.

Shellter در بیانیه‌ای اعلام کرد: “ما متوجه شدیم که شرکتی که به تازگی مجوزهای Shellter Elite را خریداری کرده بود، نسخه‌ای از نرم‌افزار خود را فاش کرده است.”

“این نقض امنیتی باعث شد تا بازیگران بدخواه از این ابزار برای اهداف مضر، از جمله تحویل بدافزارهای دزد اطلاعات استفاده کنند.”

یک به‌روزرسانی که به “مشتری بدخواه” نخواهد رسید، برای رفع این مشکل منتشر شده است.

Shellter Elite در دنیای واقعی سوءاستفاده شده است

Shellter Elite یک لودر تجاری برای اجتناب از آنتی‌ویروس و EDR است که توسط متخصصان امنیتی (تیم‌های قرمز و تست‌کنندگان نفوذ) برای استقرار مخفیانه بارگذاری‌ها در فایل‌های اجرایی معتبر ویندوز، به‌منظور اجتناب از شناسایی توسط ابزارهای EDR در حین تست‌های امنیتی استفاده می‌شود.

این محصول شامل اجتناب استاتیک از طریق پلیمورفیسم و اجتناب داینامیک از طریق AMSI، ETW، چک‌های ضد دیباگ/ماشین‌های مجازی، اجتناب از پشته‌ی تماس و unhooking ماژول‌ها و اجرای فریبنده است.

در گزارشی که در تاریخ ۳ جولای منتشر شد، Elastic Security Labs فاش کرد که چندین تهدیدگر از Shellter Elite نسخه ۱۱٫۰ برای استقرار بدافزارهای دزد اطلاعات مانند Rhadamanthys، Lumma و Arechclient2 سوءاستفاده کرده‌اند.

محققان Elastic کشف کردند که این فعالیت از حداقل ماه آوریل آغاز شده است و روش توزیع آن شامل نظرات یوتیوب و ایمیل‌های فیشینگ می‌شود.

بر اساس تایم‌استمپ‌های منحصر به‌فرد مجوزها، محققان حدس زدند که تهدیدگران از یک نسخه فاش‌شده واحد استفاده می‌کردند که در ادامه توسط Shellter به‌طور رسمی تأیید شد.

Elastic برای نمونه‌های مبتنی بر نسخه ۱۱٫۰ تشخیص‌هایی را توسعه داده است، بنابراین بارگذاری‌هایی که با این نسخه از Shellter Elite ساخته می‌شوند، اکنون قابل شناسایی هستند.

Shellter نسخه ۱۱٫۱ Elite را منتشر کرد که تنها به مشتریان تأییدشده توزیع خواهد شد، به‌استثنای آن مشتری که نسخه قبلی را فاش کرده است.

این تولیدکننده به عدم ارتباط مناسب Elastic Security Labs اشاره کرده و آن را “بی‌احتیاط و غیرحرفه‌ای” توصیف کرد، چرا که Elastic به‌جای همکاری برای کاهش تهدید، ترجیح داده اطلاعات را مخفی نگه دارد تا یک افشای غافلگیرکننده منتشر کند و اولویت را بر روی جلب توجه عمومی قرار دهد.

با این حال، Elastic نمونه‌های لازم را برای شناسایی مشتری خاطی به Shellter ارائه کرده است.

این شرکت از مشتریان وفادار خود عذرخواهی کرده و تأکید کرد که با سایبری‌های جنایی همکاری نمی‌کند و از همکاری با مراجع قانونی در صورت نیاز استقبال می‌کند.