黑客滥用泄露的 Shellter 红队工具部署窃密后门程序

Shellter Project 是一家提供用于渗透测试的商业 AV/EDR 逃避加载程序的供应商，该公司证实，在一名客户泄露了该软件的副本后，黑客利用其 Shellter Elite 产品发起了攻击。

这种滥用行为已经持续了几个月，尽管安全研究人员发现了这种活动，但 Shellter 并未收到通知。

该供应商强调，这是自 2023 年 2 月推出严格许可模式以来第一起已知的滥用事件。

Shellter Elite 在野外被滥用

Shellter Elite 是一款商业 AV/EDR 逃避加载器，安全专业人员（红队和渗透测试人员）使用它在合法的 Windows 二进制文件中秘密部署有效载荷，从而在安全操作期间逃避 EDR 工具检测。

该产品具有通过多态性进行静态规避，以及通过 AMSI、ETW、反调试/VM 检查、调用堆栈和模块解除挂钩避免以及诱饵执行进行动态运行时规避的功能。

Elastic Security Labs 在 7 月 3 日的一份报告中披露，多个威胁组织在滥用 Shellter Elite v11.0 部署信息窃取程序，其中包括 Rhadamanthys、Lumma 和 Arechclient2。

Elastic 研究人员确定该活动至少从 4 月就开始了，并且传播方式依赖于 YouTube 评论和网络钓鱼电子邮件。

根据独特的许可证时间戳，研究人员推测攻击者使用的是单个泄露的副本，Shellter 随后正式证实了这一点。

Elastic 已经开发了基于 v11.0 的样本检测功能，因此现在可以检测到使用该版本的 Shellter Elite 制作的有效载荷。

Shellter 发布了 Elite 11.1 版本，该版本将仅分发给经过审查的客户，但泄露之前版本的客户除外。

技术报告：

https://www.elastic.co/security-labs/taking-shellter

新闻链接：

https://www.bleepingcomputer.com/news/security/hackers-abuse-leaked-shellter-red-team-tool-to-deploy-infostealers/