Пожалуй, единственная реальная гарантия, которую мы можем дать в отношении того, что не должно попасть в чужие руки, заключается в том, что в конечном итоге именно это и произойдет. Пример: в понедельник BleepingComputer сообщил, что киберпреступники используют утечку легального инструмента для красного командования под названием Shellter для распространения вредоносного ПО.
Shellter Project описывает свое программное обеспечение как «самый совершенный загрузчик, когда-либо созданный», который «обладает уникальными функциями статического и динамического обхода, разработанными непосредственно нашими собственными исследователями и разработчиками». Он также «независим от полезной нагрузки и может использоваться с позиционно-независимым кодом, сгенерированным из всех популярных фреймворков C2».
Короче говоря, это инструмент для обхода защиты и установления соединения с инфраструктурой управления и контроля (C2). Единственное различие между предполагаемым использованием Shellter — позволяющим специалистам по кибербезопасности оценивать защитные возможности организации — и киберпреступной деятельностью заключается в том, что профессионалы должны сначала запросить разрешение.
Хорошая новость заключается в том, что проект Shellter требует от потенциальных пользователей прохождения процесса проверки, прежде чем они смогут использовать его программное обеспечение. Плохая новость заключается в том, что Elastic Security Labs 3 июля сообщила, что «несколько кампаний по краже информации с финансовой мотивацией... с конца апреля 2025 года используют SHELLTER для упаковки полезных нагрузок».
В отчете Elastic описывается, как работает Shellter, и приводятся подробные сведения о типах вредоносного ПО (ArechClient2 / Sectop RAT и Rhadamanthys), для развертывания которого он использовался. Он также включает следующее: Несмотря на все усилия коммерческого сообщества [по разработке инструментов для защиты от атак], направленные на сохранение своих инструментов для законных целей, методы смягчения последствий несовершенны.
Они, как и многие наши клиенты, сталкиваются с настойчивыми, мотивированными злоумышленниками. Хотя в данном случае Shellter Project является жертвой в результате потери интеллектуальной собственности и времени на будущую разработку, другие участники сферы безопасности теперь должны бороться с реальными угрозами, использующими более мощные инструменты.
Проект Shellter ответил, что «Elastic Security Labs решила действовать способом, который мы считаем опрометчивым и непрофессиональным» (выделено ими) и что «вместо того, чтобы сотрудничать в целях смягчения угрозы, они решили утаить информацию, чтобы опубликовать неожиданное разоблачение, поставив рекламу выше общественной безопасности».
Это противостояние между наступательной и оборонительная безопасностью продолжается уже давно. Наиболее примечательный пример — WannaCry, атака с использованием программы-вымогателя, которую IBM описала как «самую быстро распространяющуюся киберпреступную атаку в истории» и «крупнейшее событие в области кибербезопасности, которое когда-либо видел мир» в мае 2017 года.
WannaCry удалось распространиться так быстро, потому что оно использовало уязвимость EternalBlue, которая задействовала многочисленные уязвимости в Microsoft SMBv1 для взлома систем Windows (и других устройств, на которых работали серверы SMBv1). Но EternalBlue не было разработано создателями WannaCry; оно было создано Агентством национальной безопасности США.
Должно ли было АНБ информировать Microsoft об уязвимостях, вместо того чтобы использовать их через EternalBlue? Должно ли было Elastic Security Labs сообщить The Shellter Project, что его программное обеспечение было утечено киберпреступникам, которые использовали его для распространения вредоносного ПО? Или, если на то пошло, должны ли были методы Shellter быть раскрыты защитникам в первую очередь?
Вряд ли в ближайшее время будет найден консенсус по любому из этих вопросов. Такие организации, как АНБ и The Shellter Project, будут искать способы обойти антивирусное программное обеспечение, системы обнаружения и реагирования на конечных устройствах и т. д. Это их работа. А такие компании, как Elastic Security Labs, будут публиковать информацию об этих способах обхода.
Возможно, сначала следует ответить на более важный вопрос: кому это помогает? (Естественным продолжением этого вопроса, конечно, будет: кому мы намеревались помочь?)
Оригинал
Уникальность
