Shellter Project, el proveedor de un cargador comercial AV / EDR para pruebas de penetración, confirmó que los Piratas usaron su producto Shellter Elite en los ataques después de que un cliente ha revelado una copia del software.
Los abusos continuaron durante varios meses e incluso si los investigadores de seguridad captaron la actividad en la naturaleza, Shellter no recibió ninguna notificación.
El vendedor enfatizó que es el primer incidente conocido de uso inadecuado desde que presentó su estricto modelo de licencia en febrero de 2023.
“Descubrimos que una compañía que había comprado recientemente las licencias de Shellter Elite había revelado su copia del software”, dijo Shellter en un comunicado.
“Esta violación ha llevado a los actores maliciosos a explotar la herramienta con fines dañinos, incluida la entrega de malware infostante”.
Se publicó una actualización, que no llegaría al “cliente malicioso”, para resolver el problema.
Shellter Elite ha maltratado en la naturaleza
Shellter Elite es un cargador de escape AV / EDR comercial utilizado por profesionales de seguridad (equipos rojos y probadores de penetración) para implementar cargas útiles en Windows Binary legítimos, escapando de las herramientas EDR durante los compromisos de seguridad.
El producto tiene un escape estático a través del polimorfismo y una ejecución dinámica de ejecución a través de AMSI, ETW, controles anti-DEBUT / VM, PITA de llamada y evitación de almacenamiento de módulos y ejecución de señuelos.
En informe El 3 de julio, Elastic Security Labs reveló que varios actores de amenaza habían abusado de Shellter Elite V11.0 para desplegar infositistas, especialmente Rhadamanthys, Lumma y Arechclient2.
Los investigadores elásticos han determinado que la actividad había comenzado desde al menos abril y el método de distribución se basó en los comentarios de YouTube y los correos electrónicos de phishing.
Basado en horodatages únicos de licencia, los investigadores plantearon la hipótesis de que los actores de amenaza usaron una sola copia divulgada, que Shellter luego confirmó oficialmente.
Elastic ha desarrollado detecciones para muestras basadas en V11.0, por lo que las cargas útiles diseñadas con esta versión de Shellter Elite ahora son detectables.
Shellter ha publicado Elite Versión 11.1 que solo distribuirá a los clientes verificados, excluyendo al que reveló la versión anterior.
El vendedor describió la falta de comunicación de la comunicación de la seguridad elástica de la comunicación “elástica” y no profesional para no haberles informado sobre sus conclusiones anteriormente.
“Eran conscientes del problema durante varios meses, pero no pudieron informarnos. En lugar de colaborar para mitigar la amenaza, optaron por rechazar la información para publicar una presentación sorpresa – publicidad prioritaria sobre la seguridad pública” – – Caparazón
Sin embargo, elastic proporcionó a Shellter las muestras necesarias para identificar al cliente acusado.
La compañía se disculpó con sus “clientes leales” y reafirmó que no colabora con los cibercriminales, expresando su afán de cooperar con la policía cuando sea necesario.
Si bien los ataques de nubes pueden volverse más sofisticados, los atacantes siempre tienen éxito con técnicas sorprendentemente simples.
Basado en las detecciones de Wiz en miles de organizaciones, este informe revela 8 técnicas clave utilizadas por los actores en amenazas de fluidos.