出典:Andriy Popov(Alamy Stock Photo経由)
攻撃者は、商用のレッドチーム向け回避フレームワークを、金銭目的の情報窃取型キャンペーンにおけるポストエクスプロイトペイロードの配信システムとして悪用しています。
Elastic Security Labsの研究者は、脅威アクターが「不正に入手した」Shellter Eliteバージョン11.0(商用のAV/EDR回避フレームワーク)を使ってペイロードをパッケージ化しているのを2025年4月下旬に初めて観測しました。このツールのこのバージョンは、通常は正規のレッドチームが認可されたセキュリティ評価のために使用するもので、4月16日にリリースされました。
「上記のツールを利用することで、さまざまなキャンペーンの脅威アクターがこの高い回避性を持つローダーを自らのワークフローに素早く統合しているのを観測しました」とElasticの研究者はブログ記事で先週述べています。
Shellterは、レッドチームオペレーターが最新のアンチマルウェアソリューションに対してコマンド&コントロール(C2)フレームワークをより効果的に展開することを可能にします。しかし、この機能が攻撃者による検知回避も可能にしてしまうことは、こうしたソリューションの不幸な副産物です。
「商用OST(Outflank Security Tooling)コミュニティが正当な目的のためにツールを維持しようと最善を尽くしているにもかかわらず、緩和策は不完全です」と研究者は投稿で述べています。「彼らも当社の多くの顧客と同様、執拗で動機のある攻撃者に直面しています。」
このフレームワークの悪用は、Shellter Projectに対しては知的財産の損失や今後の開発時間の損失という影響を及ぼし、また他のセキュリティベンダーに対しては「より高度なツールを持つ実際の脅威に対応しなければならない」という課題をもたらしている、と彼らは述べています。
様々なインフォスティーラーキャンペーン
このキャンペーンが最初に検知されたのは4月下旬で、Elasticの研究者がLummaスティーラーが未知の初期感染経路を通じてShellterとともに配布されているのを観測しました。しかし、ANY.RUNを利用することで、研究者はLumma関連ファイルがMediaFireのファイルホスティングプラットフォームでホストされていることを発見しました。
5月に発見された別のキャンペーンでは、YouTubeのコンテンツクリエイターをターゲットに、Udemy、Skillshare、Pinnacle Studio、Duolingoなどのブランドになりすましたフィッシングメールでスポンサーシップの機会を装った誘導が行われていました。
「これらのメールにはアーカイブファイル(.rar)へのダウンロードリンクが含まれており、正規のプロモーションコンテンツとSHELLTERで保護された実行ファイルが同梱されています」と研究者は記しています。
この場合の実行ファイルは、前述のスティーラー(Sectop RATとしても知られる)でした。このスティーラーのC2は185.156.72[.]80:15847を指しており、このドメインはElasticが6月17日にGhostpulseローダー関連のキャンペーンの一部として特定したものだと研究者は指摘しています。
さらに別のキャンペーンでは、Rhadamanthysスティーラーの配布が、ゲームハックやゲーム改造などのトピックに焦点を当てたYouTube動画から始まり、動画のコメント欄にMediaFireにホストされた悪意あるファイルへのリンクが貼られていました。これらのファイルのうちの1つは、少なくとも126回、異なる個人によって研究者に提出されたといいます。
「このファイルは、前述のShellter分析セクションの基盤コードと同じ動作特性を共有しています」と彼らは記しています。「このサンプルに埋め込まれたペイロードはRhadamanthysインフォスティーラーを展開します。」
悪用された具体的な機能
ブログ記事によると、Shellterは特定の動作環境、ペイロード配信メカニズム、暗号化タイプに合わせて幅広い設定が可能です。研究者は、攻撃者がこれらの機能のいくつかを悪用して、前述のスティーラーキャンペーンで攻撃能力を強化していることを発見しました。
「SHELLTERで保護されたサンプルは、自己改変型シェルコードとポリモーフィック難読化を一般的に用いて、正規プログラム内に自身を埋め込みます」とブログ記事では述べています。「正規の命令とポリモーフィックコードの組み合わせにより、これらのファイルは静的検知やシグネチャを回避し、未検知のままとどまることができます。」
特にRhadamanthysキャンペーンでは、攻撃者はポリモーフィックコードを用いて静的逆アセンブラを混乱させ、エミュレーションの試みを妨害していました。Shellterには「Force Preload System Modules」と呼ばれる機能もあり、ペイロードの動作を支援するためにWindowsサブシステムのDLLを事前ロードできます。「これらのモジュールはLoadLibraryExWまたはLdrLoadDllを通じてロードされています」と研究者は説明しています。
この機能はコールスタック回避機能を利用し、LoadLibraryExW呼び出しの発信元を隠しつつ、ネットワークや暗号化ライブラリをロードします。研究者は、攻撃者がこの機能を使ってLummaスティーラーの配信を隠蔽しているのを観測しました。
他にも、Shellterの悪用された機能として、AV/EDRベンダーのAPIフック技術の回避、AV/EDRモジュールのアンリンク、メモリスキャン回避、デバッガ検知などがあり、攻撃者の検知回避を助けています。
キャンペーンは継続、対抗策が必要
Elasticの研究者は、不正バージョンのShellterがサイバー犯罪者コミュニティ内で流通し続け、国家支援のアクターにも渡る可能性があり、悪意ある活動が拡大する恐れがあると予想しています。
Shellter Projectは、Elasticが特定した検知回避の機会を緩和するバージョンのアップデートとリリースを計画していると研究者は述べていますが、フレームワーク自体は今後も悪意あるアクターの標的となる可能性が高いです。一方、Shellter Projectは7月4日にブログ記事を公開し、Elasticの調査を認めつつも、公開前の連絡不足について同社を批判しました。
防御側を支援するため、ElasticはShellterで保護されたバイナリ用の動的アンパッカーをリリースしています。これは動的・静的解析技術を組み合わせて複数のペイロード段階を自動抽出します。アンパッカーは完全ではありませんが、テストされたサンプルの大多数を正常に処理できると研究者は述べています。「未対応のバイナリでも、通常は少なくとも1つのペイロード段階を抽出できます」と記しています。
防御側がこのツールを使用する場合、アンパック処理中に悪意ある実行コードがメモリにマッピングされるため、必ず隔離された仮想マシン内でのみ使用すべきだと研究者は警告しています。「いくつかの基本的な安全策は実装されていますが」と彼らは記していますが、「それらは完全ではありません。」
翻訳元: https://www.darkreading.com/threat-intelligence/hackers-shellter-red-team-tool-evade-detection