Kötü niyetli amaçlar için meşru araçları yeniden tasarlayan tehdit aktörlerinin bir başka örneğinde, bilgisayar korsanlarının popüler bir kırmızı takımlama aracını kullandığı keşfedildi. Kabuklu Stealer kötü amaçlı yazılım dağıtmak için.
Yazılımın arkasındaki şirket, yakın zamanda Shellter Elite Lisansları satın alan bir şirketin kopyalarını sızdırdığını ve kötü amaçlı aktörleri Infostealer kampanyaları için araçları silahlandırmasını istediğini söyledi. Sorunu takmak için bir güncelleme yayınlandı.
Shellter Proje Ekibi yaptığı açıklamada, “Şubat 2023’te Shellter Pro Plus’ın piyasaya sürülmesinden bu yana bu tür olayları başarıyla önleyen titiz veteriner sürecimize rağmen, şimdi kendimizi bu talihsiz durumu ele alırken buluyoruz.” Dedi.
Yanıt, Elastik Güvenlik Laboratuarlarının, Lumma Stealer, Rhadamanthys Stealer ve Sectoprat’ı (AKA ARECHCLIENT2) yaymak için Nisan 2025’ten beri Ticari Kaçma Çerçevesinin Vahşi’de nasıl istismar edildiğine dair bir rapor yayınladıktan kısa bir süre sonra geliyor.
Shellter, saldırgan güvenlik ekiplerinin antivirüs ve uç nokta algılama ve yanıt (EDR) yazılımı uç noktalara yüklenmiş olarak atlamasına izin veren güçlü bir araçtır.
Elastik, Nisan 2025’in sonlarından itibaren Shellter to Paket yüklerini kullanan finansal olarak motive edilmiş birden fazla Infosteer kampanyası belirlediğini ve 16 Nisan 2025’te piyasaya sürülen Shellter Elite Sürüm 11.0’dan yararlandığını söyledi.
Şirket, “Shellter korumalı örnekler genellikle kendilerini meşru programlara gömmek için polimorfik gizlemeli kendi kendine değiştiren kabuk kodu kullanıyor.” Dedi. “Meşru talimatların ve polimorfik kodun bu kombinasyonu, bu dosyaların statik algılama ve imzalardan kaçmasına yardımcı olarak tespit edilmemelerine izin veriyor.”
Sectoprat ve Rhadamanthys stealer’ı teslim edenler de dahil olmak üzere bazı kampanyaların, sürüm 11’in Mayıs ortasında popüler bir siber suç forumunda satışa çıktıktan sonra, içerik yaratıcıları hedefleyen sponsorluk fırsatları ile ilgili cazibeler kullanarak, Fortnite hile gibi oyun modları sunduğunu iddia eden youtube videoları kullanarak kabul edildiğine inanılıyor.
Lumma Stealer Saldırı Zincirleri, Shelter’dan yararlanan Saldırı Zincirlerinin, Nisan 2025’in sonlarında Mediafire’da barındırılan yükler yoluyla yayıldığı söyleniyor.
Kobalt Strike ve Brute Ratel C4’ün çatlak versiyonları daha önce siber suçluların ve ulus-devlet aktörlerinin eline geçerek, Shellter benzer bir yörüngeyi takip ederse tamamen sürpriz olmazdı.
Elastik, “Ticari OST topluluğunun araçlarını meşru amaçlar için koruma çabalarına rağmen, hafifletme yöntemleri kusurludur.” Dedi. Diyerek şöyle devam etti: “Shellter Projesi bu durumda fikri mülkiyet kaybı ve gelecekteki kalkınma süresi yoluyla kurban olmasına rağmen, güvenlik alanındaki diğer katılımcılar artık daha yetenekli araçlara sahip gerçek tehditlerle mücadele etmelidir.”
Ancak Shellter Projesi, Elastik’i “kamu güvenliği üzerindeki tanıtım önceliklendirmesi” ve hızlı bir şekilde bilgilendirerek “pervasız ve profesyonel olmayan” olduğunu söylediği şekilde hareket ettiği için eleştirdi.
Hacker News ile paylaşılan bir açıklamada, Elastik Güvenlik Laboratuvarı, 18 Haziran 2025’te potansiyel olarak şüpheli faaliyetlerin farkına vardığını ve “şeffaflık, sorumlu araştırma ve açıklık” yapmaya kararlı olduğunu söyledi. Şirketten tüm ifadenin tümü aşağıda –
Finansal olarak motive olmuş birkaç tehdit ve ticari AV/EDR kaçınma çerçevesini (Shellter) tanımlayan araştırma yayınımız, şeffaflık, sorumlu ifşa ve bir savunmacı zihniyetine olan bağlılığımız doğrultusunda yürütülmüştür. Elastik Güvenlik Laboratuarları ekibi, 18 Haziran 2025’te potansiyel olarak şüpheli etkinliklerin farkına vardı ve derhal, kullanıcılarımız tarafından gönüllü olarak paylaşılan kamuya açık bilgileri ve telemetri kullanarak daha önce tespit edilmemiş kötü amaçlı etkinlik olarak tanımladığımız davranışları araştırmaya başladı. İlk araştırmamızın ardından ve titiz analizden sonra, halka açık aracın, Shellter’ın kaçırma amacıyla kullanıldığını belirledik. Bulgularımız bu tespitten sonraki iki hafta içinde yayınlandı.
Bulgularımızı, müşterilerimiz ve kullanıcılarımız için endüstri standardı ve işin bir parçası gibi savunucuları olabildiğince çabuk bilgilendirmek için doğrudan ve şeffaf bir şekilde yayınlıyoruz. Önceliğimiz, güvenlik topluluğunu araştırmamız hakkında derhal ve doğru bir şekilde bilgilendirmektir. Kamu yararının en iyi şekilde, savunucuların güvenlik kontrollerini atlamak için kullanılan teknikler de dahil olmak üzere ortaya çıkan tehditlere yanıt vermelerine yardımcı olmak için, kapsamlı bir analiz sonuçlandıktan sonra araştırmayı mümkün olduğunca çabuk ifşa ederek sunulduğuna inanıyoruz.
Elastik Güvenlik Laboratuarları, düzinelerce yeni tehdit ve düşman tradecraft’ı ortaya çıkaran kötü amaçlı araştırmacılar, veri bilimcileri, saldırgan güvenlik mühendisleri ve istihbarat analistlerinden oluşmaktadır. Çalışmalarımız, kuruluşların ortaya çıkan tehditlerin önünde kalmalarına sürekli olarak yardımcı olur ve profesyonellik, bütünlük ve savunmacı bir ilk zihniyetle faaliyet göstermeye kararlıyız.
Shellter Proje ekibi, bulgularını yayınlayan elastik güvenlik laboratuvarlarında herhangi bir sorunu olmadığını, ancak şirketin zamanında yanıt vermesine veya hareket etmesine izin vermek için “daha önce bizi bilgilendirebileceğini” vurgulayarak bir takip ifadesi çıkardı.
“İleride, kalkınma kaynaklarını DRM mekanizmalarımızı güçlendirmek için tahsis etmeyi planlıyoruz,” dedi 10 Temmuz 2025’teki bir yazıda. “Bu olay, DRM’mize doğrudan saldırının sonucu değil, daha ziyade yazılımın lisanslı kopyalarını sızdıran birinin sonucu olsa da, ek güvene sahip olma ihtiyacını vurguladı.”
Shelter’ın yapımcıları, nihai hedeflerinin, niyetin kötü niyetli veya kazara olup olmadığına bakılmaksızın aracın yetkisiz kopyalarını dağıtmayı zorlaştırmak olduğunu söyledi.
(Hikaye, yayınlandıktan sonra elastik güvenlik laboratuarlarından bir yanıt ve Shellter Proje ekibinin takip duyurusunu içerecek şekilde güncellendi.)