Penetrasyon testi için ticari bir AV/EDR kaçırma yükleyicisinin satıcısı olan Shellter Project, bilgisayar korsanlarının bir müşterinin yazılımın bir kopyasını sızdırdıktan sonra kabuk elit ürününü saldırılarda kullandığını doğruladı.
Kötüye kullanım birkaç ay sürmeye devam etti ve güvenlik araştırmacıları vahşi doğada faaliyeti yakalamış olsa da, Shellter bir bildirim almadı.
Satıcı, Şubat 2023’te katı lisans modelini tanıttığından beri bunun bilinen ilk kötüye kullanım olayı olduğunu vurguladı.
Shellter yaptığı açıklamada, “Yakın zamanda Shellter Elite Lisansları satın alan bir şirketin yazılımın kopyalarını sızdırdığını keşfettik.” Diyor.
“Bu ihlal, kötü niyetli aktörlerin, Infostealer kötü amaçlı yazılımların teslimi de dahil olmak üzere aracı zararlı amaçlarla sömürmesine yol açtı.”
Sorunu ele almak için “kötü niyetli müşteri” ni ulaşmayacak bir güncelleme yayınlandı.
Vahşi doğada istismar edilen Shellter Elite
Shellter Elite, güvenlik uzmanları (kırmızı ekipler ve penetrasyon test cihazları) tarafından, güvenlik etkileşimleri sırasında EDR araçlarından kaçan ve EDR araçlarından kaçan yükleri istikrarlı bir şekilde dağıtmak için kullanılan ticari bir AV/EDR Tassu yükleyicidir.
Ürün, polimorfizm yoluyla statik kaçırma ve AMSI, ETW, anti-Debug/VM kontrolleri, çağrı yığını ve modül açma kaçınma ve tuzak yürütme yoluyla dinamik çalışma zamanı kaçınma içerir.
3 Temmuz’da yapılan bir raporda, Elastik Güvenlik Laboratuarları, birden fazla tehdit aktörünün Rhadamanthys, Lumma ve Arechclient2 de dahil olmak üzere infostaler’ları dağıtmak için Shellter Elite V11.0’ı kötüye kullandığını açıkladı.
Elastik araştırmacılar, en az Nisan ayından bu yana başlamış olan etkinliği belirlediler ve dağıtım yöntemi YouTube yorumlarına ve kimlik avı e -postalarına dayanıyordu.
Benzersiz lisans zaman damgalarına dayanarak, araştırmacılar tehdit aktörlerinin daha sonra resmi olarak onayladığı tek bir sızdırılmış kopya kullandıklarını varsaydılar.
Elastik, V11.0 tabanlı örnekler için tespitler geliştirmiştir, bu nedenle Shellter Elite’in bu sürümüyle hazırlanmış yükler artık tespit edilebilir.
Shellter, önceki sürümü sızdıran olanı hariç, yalnızca veteriner müşterilere dağıtacağı Elite Sürüm 11.1’i yayınladı.
Satıcı, Elastik Güvenlik Laboratuarlarının daha önce bulgularını bilgilendirmediği için “pervasız ve profesyonel olmayan” iletişim eksikliği olarak adlandırdı.
“Konunun birkaç aydır farkındaydılar, ancak bizi bilgilendiremediler. Tehdidi azaltmak için işbirliği yapmak yerine, sürpriz bir maruziyet yayınlamak için bilgileri sakladılar – kamu güvenliği üzerinden tanıtım yapmayı seçtiler” – Shellter
Bununla birlikte, elastik, rahatsız edici müşteriyi tanımlamak için neccessary numunelerini shellster sağladı.
Şirket “sadık müşterilerden” özür diledi ve siber suçlularla işbirliği yapmadığını ve gerektiğinde kolluk kuvvetleriyle işbirliği yapma hevesini ifade ettiğini doğruladı.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.