Компанія Shellter Project, виробник комерційного завантажувача для обходу антивірусів і EDR-систем, попередила, що хакери використовують її продукт Shellter Elite в атаках. Річ у тім, що один із клієнтів злив копію софту в мережу.

За даними виробника, зловживання тривають уже кілька місяців, і хоча ІБ-дослідники помітили цю активність, представники Shellter не отримували повідомлень до недавнього часу.

У компанії підкреслюють, що це перший відомий випадок неправомірного використання продукту з моменту введення суворої моделі ліцензування в лютому 2023 року.

“Ми виявили, що компанія, яка нещодавно купила ліцензії Shellter Elite, допустила витік своєї копії програмного забезпечення, – йдеться в офіційній заяві Shellter. – Цей витік призвів до того, що зловмисники почали використовувати інструмент у шкідливих цілях, зокрема для доставки інфосилерів”.

Shellter Elite являє собою комерційний завантажувач, призначений для обходу антивірусів і EDR-систем. Його часто використовують у роботі фахівці з безпеки (пентестери і red team) для потайного розгортання корисних навантажень у легітимних бінарниках Windows. Продукт застосовує поліморфізм для обходу статичного аналізу, а під час виконання використовує техніки на кшталт обходу AMSI і ETW, захист від налагодження і запуску у віртуальному середовищі, маскування стека викликів, перешкоджає зняттю хуків і може запускати приманки.

Дослідники встановили, що ця активність триває щонайменше з квітня, а метод поширення малварі ґрунтується на коментарях на YouTube і фішингових листах.

На підставі унікальних тимчасових міток ліцензій дослідники припустили, що зловмисники використовували єдину копію ПЗ, яка просочилася в мережу, що згодом офіційно підтвердили представники Shellter.

Крім того, фахівці Elastic розробили засоби виявлення шкідливих зразків, створених за допомогою версії 11.0, тому корисні навантаження, створені за допомогою цієї версії Shellter Elite, вже можна виявити.

Також виробник назвав відсутність взаємодії з боку Elastic Security Labs «нерозсудливістю і непрофесіоналізмом» і засудив дослідників за те, що вони не повідомили компанію про свої знахідки раніше.

“Вони знали про проблему протягом кількох місяців, але не повідомили нас. Замість того щоб спільно протистояти загрозі, вони вважали за краще приховати інформацію, щоб опублікувати несподіване викриття, віддавши пріоритет публічності, а не безпеці”, – заявляють представники Shellter Project.

Проте, наголошується, що дослідники надали Shellter усі необхідні зразки та інформацію для ідентифікації клієнта-порушника.

Компанія вибачилася перед своїми «лояльними клієнтами» і наголосила, що не співпрацює з кіберзлочинцями, висловивши готовність співпрацювати з правоохоронними органами, якщо це буде потрібно.