(https://www.bleepstatic.com/content/hl-images/2024/06/18/hand.jpg)
Shellter Project, proveedor de un cargador comercial de evasión de AV/EDR para pruebas de penetración, confirmó que hackers utilizaron su producto Shellter Elite en ataques después de que un cliente filtrara una copia del software.
El abuso ha continuado durante varios meses y, aunque investigadores de seguridad detectaron la actividad en tiempo real, Shellter no recibió ninguna notificación.
El proveedor subrayó que este es el primer incidente conocido de uso indebido desde que introdujo su estricto modelo de licencias en febrero de 2023.
"Descubrimos que una empresa que había adquirido recientemente licencias de Shellter Elite había filtrado su copia del software", declaró Shellter en un comunicado.
"Esta brecha de seguridad provocó que actores maliciosos explotaran la herramienta con fines dañinos, incluyendo la distribución de malware ladrón de información".
Se ha publicado una actualización para solucionar el problema, que no llegaría al cliente malicioso.
Shellter Elite se usa de forma indiscriminada
Shellter Elite es un cargador comercial de evasión de AV/EDR utilizado por profesionales de seguridad (equipos rojos y testers de penetración) para desplegar cargas útiles de forma sigilosa dentro de binarios legítimos de Windows, evadiendo las herramientas EDR durante las intervenciones de seguridad.
El producto ofrece evasión estática mediante polimorfismo y evasión dinámica en tiempo de ejecución mediante AMSI, ETW, comprobaciones antidepuración/VM, prevención de desenganche de pila de llamadas y módulos, y ejecución señuelo.
En un informe del 3 de julio, Elastic Security Labs reveló que múltiples actores de amenazas han estado usando Shellter Elite v11.0 para desplegar ladrones de información, incluyendo Rhadamanthys, Lumma y Arechclient2.
Los investigadores de Elastic determinaron que la actividad comenzó al menos desde abril y que el método de distribución se basó en comentarios de YouTube y correos electrónicos de phishing.
Basándose en las marcas de tiempo únicas de la licencia, los investigadores plantearon la hipótesis de que los actores de la amenaza utilizaban una única copia filtrada, lo cual Shellter confirmó oficialmente posteriormente.
Elastic ha desarrollado detecciones para muestras basadas en la v11.0, por lo que las cargas útiles creadas con esa versión de Shellter Elite ahora son detectables.
Shellter lanzó la versión 11.1 de Elite, que solo distribuirá a clientes verificados, excluyendo al que filtró la versión anterior.
El proveedor calificó la falta de comunicación de Elastic Security Labs de "imprudente y poco profesional" por no informarles de sus hallazgos con antelación.
"Conocían el problema desde hacía varios meses, pero no nos lo notificaron. En lugar de colaborar para mitigar la amenaza, optaron por retener la información para publicar una revelación sorpresa, priorizando la publicidad sobre la seguridad pública". - Shellter
Sin embargo, Elastic proporcionó a Shellter las muestras necesarias para identificar al cliente infractor.
La compañía pidió disculpas a sus "clientes leales" y reafirmó que no colabora con los ciberdelincuentes, expresando su disposición a cooperar con las fuerzas del orden cuando sea necesario.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-abuse-leaked-shellter-red-team-tool-to-deploy-infostealers/