Shellter: антивирусы его не видят, пентестеры им гордятся, а хакеры — уже пользуются

Программа против угроз стала самой большой угрозой.


7iy6p47l34xppv8gsl7e8x5icfhrap3f.jpg


Команда разработчиков инструмента для обхода антивирусной и EDR -защиты Shellter подтвердила, что их продукт оказался в руках злоумышленников. Одновременно с этим они обвинили компанию Elastic в халатности при раскрытии информации о выявленной угрозе.

Shellter давно используется пентестерами и красными командами ( Red Team ) для имитации атак с целью проверки защищённости корпоративной инфраструктуры. Однако, как и другие коммерческие инструменты, такие как Cobalt Strike , он всё чаще становится объектом интереса киберпреступников, которые стремятся использовать его в реальных атаках.

Недавно подразделение Elastic Security Labs сообщило , что в ходе расследования зафиксировано использование Shellter Elite в атаках, направленных на установку вредоносного ПО класса инфостилеров. Разработчики Shellter подтвердили подлинность копии и признали, что один из клиентов действительно использовал её в злонамеренных целях, несмотря на применяемую систему отбора покупателей.

Разработчики отметили, что с момента запуска Shellter Pro Plus в феврале 2023 года их механизм проверки клиентов успешно предотвращал подобные случаи. Однако новая ситуация нарушила эту статистику. Они выразили благодарность компании Elastic за предоставление образцов, позволивших установить личность нарушителя, но одновременно резко раскритиковали подход к раскрытию информации.

По словам компании, Elastic на протяжении нескольких месяцев знала об инциденте, но не уведомила разработчиков. Вместо совместной работы над решением проблемы, компания, как утверждают авторы Shellter, предпочла подготовить эффектный публичный материал, не поставив в известность другую сторону. Это, по мнению разработчиков, поставило под угрозу как собственных клиентов Elastic, так и более широкое профессиональное сообщество.

Команда Shellter добавила, что без своевременного уведомления почти отправила злоумышленнику обновлённую версию инструмента с улучшенными средствами обхода защиты. Лишь по счастливому совпадению — из-за личных обстоятельств — отправка была отложена, и вредоносный пользователь не успел её получить.

Создатели Shellter считают, что данный случай иллюстрирует растущий разрыв между сообществами, занимающимися наступательной и оборонительной безопасностью. Они подчёркивают, что несмотря на открытое распространение инструмента, его выдача осуществляется строго через проверку. Если бы информация о злоумышленнике поступила вовремя, доступ был бы немедленно отозван.

На фоне истории вновь поднимается вопрос о контроле над профессиональными инструментами, используемыми для оценки защищённости систем. Ранее, например, компания Fortra, владеющая Cobalt Strike, сообщала об успехах международной операции Morpheus под руководством Национального агентства по борьбе с преступностью Великобритании, которая позволила сократить число нелегальных копий инструмента в обращении на 80%.