ハッカーが流出したShellterレッドチームツールを悪用し、情報窃取マルウェアを展開

ペネトレーションテスト用の商用AV/EDR回避ローダーのベンダーであるShellter Projectは、顧客がソフトウェアのコピーを流出させた後、ハッカーが同社のShellter Elite製品を攻撃に利用したことを確認しました。

この悪用は数か月間続いており、セキュリティ研究者が野外でその活動を発見したものの、Shellterには通知が届きませんでした。

ベンダーは、2023年2月に厳格なライセンスモデルを導入して以来、これが初めての悪用事例であることを強調しました。

「最近Shellter Eliteのライセンスを購入した企業が、ソフトウェアのコピーを流出させたことを発見しました」とShellterは声明で述べています。

「この漏洩により、悪意のある攻撃者がツールを有害な目的で悪用し、情報窃取マルウェアの配布などが行われました。」

「悪意のある顧客」には届かないアップデートが問題解決のためにリリースされました。

Shellter Eliteが野外で悪用される

Shellter Eliteは、セキュリティ専門家（レッドチームやペネトレーションテスター）が、正規のWindowsバイナリ内にペイロードをステルスに展開し、セキュリティテスト中にEDRツールを回避するために使用する商用AV/EDR回避ローダーです。

この製品は、ポリモーフィズムによる静的回避や、AMSI、ETW、アンチデバッグ/仮想環境チェック、コールスタックおよびモジュールのアンフック回避、デコイ実行などによる動的ランタイム回避機能を備えています。

7月3日のレポートで、Elastic Security Labsは、複数の脅威アクターがShellter Elite v11.0を悪用し、Rhadamanthys、Lumma、Arechclient2などの情報窃取マルウェアを展開していることを明らかにしました。

Elasticの研究者は、この活動が少なくとも4月から始まっており、配布方法はYouTubeのコメントやフィッシングメールに依存していたと判断しました。

ユニークなライセンスタイムスタンプに基づき、研究者は脅威アクターが1つの流出コピーを使用していると仮定し、Shellterもその後公式にこれを確認しました。

Elasticはv11.0ベースのサンプルに対する検知機能を開発したため、そのバージョンのShellter Eliteで作成されたペイロードは現在検出可能です。

ShellterはEliteバージョン11.1をリリースし、前バージョンを流出させた顧客を除外し、審査済みの顧客のみに配布することにしました。

ベンダーは、Elastic Security Labsが早期に発見を通知しなかったことについて、「無責任かつプロフェッショナルではない」と批判しました。

「彼らは数か月間この問題を認識していたにもかかわらず、私たちに通知しませんでした。脅威の緩和に協力する代わりに、サプライズの暴露記事を公開するために情報を伏せ、公共の安全よりも宣伝を優先しました」 – Shellter

しかし、Elasticは問題の顧客を特定するために必要なサンプルをShellterに提供しました。

同社は「忠実な顧客」に謝罪し、サイバー犯罪者とは協力していないこと、必要に応じて法執行機関と協力する意思があることを改めて表明しました。