人気のあるAV/EDR回避ツールの開発者が、悪意のある攻撃者によって実際にこのツールが使用されていることを認めるとともに、脅威を責任を持って開示しなかったセキュリティベンダーを非難しました。
Shellterは、プロのレッドチームやペンテスターが、クライアントの攻撃対象領域を調査する際にセキュリティツールを回避するために使用されています。
しかし、Cobalt Strikeや同様の商用ツールと同じく、脅威アクターにとって非常に価値の高いツールとなっています。
Elastic Security Labsは先週、Shellter Eliteのコピーがこのように悪用され、インフォスティーラーを展開する攻撃に使われていたと報告しました。
Shellterについて詳しくはこちら:Dragonfly 2.0攻撃者がエネルギー業界を調査
「2023年2月にShellter Pro Plusをリリースして以来、厳格な審査プロセスによってこのような事例を防いできましたが、今回この不幸な状況に対処せざるを得なくなりました」と、ShellterプロジェクトはElasticの調査に応じたブログ記事で認めました。
しかし、問題の顧客の身元を確認するためのサンプルを提供してくれたことに感謝を示しつつも、ShellterはElasticのインシデント開示方法における「欠点」とみなす点についても批判しました。
「Elastic Security Labsは、私たちが無謀かつプロフェッショナルでないと考える方法で行動しました」とShellterは主張しました。
「彼らは数か月間この問題を認識していながら、私たちに通知しませんでした。脅威を軽減するために協力する代わりに、情報を伏せてサプライズ暴露記事を公開することを選び、公共の安全よりも宣伝を優先しました。」
Shellterプロジェクトは、この情報開示の欠如により、危うく悪意のある顧客に実行時回避機能を強化した新バージョンを送付しそうになったと主張しています。幸いにも「個人的な理由で」アップデートが遅れたため、その顧客が受け取ることはありませんでした。
「最終的に、この状況はレッドチームとブルーチームの研究コミュニティ間の憂慮すべき断絶を浮き彫りにしています。Elasticは責任ある開示よりも話題性を選び、自社の顧客と広く一般の人々を危険にさらしました」と述べています。
「確かに私たちはこのソフトウェアを配布していますが、厳格な審査プロセスを経ています。悪意のある利用を把握していれば、直ちに対応していたでしょう。」
法執行機関もまた、ペンテストツールが脅威アクターの手に渡るのを防ぐために介入しています。
Cobalt Strikeの開発元Fortraは今年初め、英国国家犯罪対策庁(NCA)が主導する長期作戦「オペレーション・モルフェウス」により、野放しになっているコピー数が80%減少したと述べました。
InfosecurityはElasticに追加コメントを求めており、今後本記事を更新する予定です。
翻訳元: https://www.infosecurity-magazine.com/news/red-team-tool-dev-shellter-misuse/