Компания Shellter Project столкнулась с серьезной проблемой неправомерного использования своего коммерческого продукта. Злоумышленники получили доступ к загрузчику Shellter Elite, предназначенному для обхода антивирусных решений и EDR-систем, и активно применяют его в киберпреступных целях. Причиной инцидента стала утечка программного обеспечения одним из клиентов компании.
Подробности инцидента с Shellter Elite
Согласно официальному заявлению разработчиков, злоупотребления продолжаются уже несколько месяцев. Это первый зафиксированный случай неправомерного использования инструмента с момента введения строгой модели лицензирования в феврале 2023 года. Компания подтвердила, что один из недавних покупателей лицензий допустил утечку своей копии программного обеспечения.
Исследователи из Elastic Security Labs выявили активность киберпреступников, использующих Shellter Elite v11.0 для развертывания различных типов инфостилеров. Среди обнаруженных вредоносных программ отмечены Rhadamanthys, Lumma и Arechclient2. Анализ временных меток лицензий подтвердил, что злоумышленники работают с единственной просочившейся копией ПО.
Технические возможности загрузчика
Shellter Elite представляет собой высокотехнологичный коммерческий загрузчик, разработанный для специалистов по информационной безопасности. Инструмент широко применяется пентестерами и red team командами для скрытного развертывания полезных нагрузок в легитимных исполняемых файлах Windows.
Продукт обладает внушительным арсеналом техник обхода защитных механизмов:
- Полиморфизм для обхода статического анализа
- Обход AMSI и ETW во время выполнения
- Защита от отладки и запуска в виртуальной среде
- Маскировка стека вызовов
- Противодействие снятию хуков
- Возможность запуска приманок
Методы распространения вредоносов
Специалисты Elastic Security Labs установили, что киберпреступная активность с использованием утечки началась как минимум в апреле. Злоумышленники применяют комбинированный подход к распространению, используя комментарии на YouTube и фишинговые электронные письма для доставки зараженных файлов к потенциальным жертвам.
Такая тактика позволяет киберпреступникам охватить широкую аудиторию и повысить вероятность успешного заражения устройств пользователей различными типами инфостилеров.
Ответные меры и конфликт интересов
В ответ на обнаруженную угрозу исследователи Elastic разработали специализированные средства обнаружения вредоносных образцов, созданных с помощью версии 11.0. Это позволяет эффективно идентифицировать полезные нагрузки, созданные с использованием скомпрометированной версии Shellter Elite.
Разработчики выпустили обновленную версию Elite 11.1, которая будет распространяться исключительно среди проверенных клиентов. Компания, допустившая утечку предыдущей версии, лишена доступа к новому релизу.
Руководство Shellter Project выразило недовольство действиями исследователей Elastic Security Labs, назвав отсутствие своевременного уведомления «безрассудством и непрофессионализмом». По мнению представителей компании, исследователи отдали приоритет публичности над безопасностью, скрывая информацию в течение нескольких месяцев.
Данный инцидент подчеркивает важность строгого контроля доступа к специализированным инструментам кибербезопасности и необходимость ответственного подхода к их использованию. Компания подтвердила готовность к сотрудничеству с правоохранительными органами и принесла извинения лояльным клиентам, подчеркнув свою принципиальную позицию против сотрудничества с киберпреступниками.
