Компанія Shellter Project зіткнулася з серйозною проблемою безпеки, коли їхній комерційний продукт Shellter Elite потрапив до рук кіберзлочинців. Цей професійний інструмент для обходу антивірусних систем та EDR-рішень тепер активно використовується для розповсюдження шкідливого програмного забезпечення через витік, спричинений одним із клієнтів компанії.
Масштаби та характер інциденту
За офіційними даними розробників, зловживання інструментом тривають уже кілька місяців. Це перший зафіксований випадок неправомірного використання Shellter Elite з моменту впровадження суворої ліцензійної моделі у лютому 2023 року. Компанія підтвердила, що один з нещодавніх покупців ліцензій допустив витік своєї копії програмного забезпечення.
Дослідники з Elastic Security Labs виявили активність кіберзлочинців, які використовують Shellter Elite v11.0 для розгортання різних типів інфостілерів. Серед виявленого шкідливого ПЗ зафіксовано Rhadamanthys, Lumma та Arechclient2. Аналіз часових міток ліцензій підтвердив, що зловмисники працюють з єдиною скомпрометованою копією програми.
Технічні можливості та загрози
Shellter Elite являє собою високотехнологічний комерційний завантажувач, призначений для фахівців з інформаційної безпеки. Інструмент широко застосовується пентестерами та red team командами для прихованого розгортання корисних навантажень у легітимних виконуваних файлах Windows.
Продукт володіє потужним арсеналом технік обходу захисних механізмів:
- Поліморфізм для обходу статичного аналізу
- Обхід AMSI та ETW під час виконання
- Захист від відлагодження та запуску у віртуальному середовищі
- Маскування стеку викликів
- Протидія зняттю хуків
- Можливість запуску приманок
Тактики розповсюдження шкідливого ПЗ
Спеціалісти Elastic Security Labs встановили, що кіберзлочинна активність з використанням витоку розпочалася щонайменше у квітні. Зловмисники застосовують комбінований підхід до розповсюдження, використовуючи коментарі на YouTube та фішингові електронні листи для доставки заражених файлів до потенційних жертв.
Така тактика дозволяє кіберзлочинцям охопити широку аудиторію та підвищити ймовірність успішного зараження пристроїв користувачів різними типами інфостілерів.
Відповідні заходи та конфлікт інтересів
У відповідь на виявлену загрозу дослідники Elastic розробили спеціалізовані засоби виявлення шкідливих зразків, створених за допомогою версії 11.0. Це дозволяє ефективно ідентифікувати корисні навантаження, створені з використанням скомпрометованої версії Shellter Elite.
Розробники випустили оновлену версію Elite 11.1, яка розповсюджуватиметься виключно серед перевірених клієнтів. Компанія, що допустила витік попередньої версії, позбавлена доступу до нового релізу.
Керівництво Shellter Project висловило невдоволення діями дослідників Elastic Security Labs, назвавши відсутність своєчасного сповіщення “безрозсудністю та непрофесіоналізмом”. На думку представників компанії, дослідники віддали пріоритет публічності над безпекою, приховуючи інформацію протягом кількох місяців.
Цей інцидент підкреслює важливість суворого контролю доступу до спеціалізованих інструментів кібербезпеки та необхідність відповідального підходу до їх використання. Компанія підтвердила готовність до співпраці з правоохоронними органами та принесла вибачення лояльним клієнтам, підкресливши свою принципову позицію проти співпраці з кіберзлочинцями.
