Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Рост атак с использованием инфокрадов на базе SHELTER Elite 11.0

8
3 мин
Компания Elastic Security Labs опубликовала тревожный отчет, демонстрирующий увеличение активности злоумышленников, использующих платформу SHELTER для проведения атак с применением инфокрадов. SHELTER, изначально созданный как коммерческий инструмент для операторов red team, был незаконно приобретён и включён в арсенал киберпреступников менее чем за месяц после выхода новой версии. SHELTER — это фреймворк, предназначенный для уклонения от обнаружения современными системами защиты, включая антивирусы и EDR (Endpoint Detection and Response). Конкретная версия, активно используемая злоумышленниками, — SHELTER Elite 11.0, выпущенная 16 апреля 2025 года. Этот инструмент обладает рядом передовых возможностей, позволяющих вредоносному ПО обходить статические методы обнаружения: Такой многоуровневый подход значительно усложняет обратное проектирование и анализ вредоносного ПО, требуя от исследователей повышенных компетенций и ресурсов. Анализ Elastic Security Labs выявил несколько кампаний, на
Оглавление

Рост использования платформы SHELTER в атаках инфокрадов: анализ Elastic Security Labs

Компания Elastic Security Labs опубликовала тревожный отчет, демонстрирующий увеличение активности злоумышленников, использующих платформу SHELTER для проведения атак с применением инфокрадов. SHELTER, изначально созданный как коммерческий инструмент для операторов red team, был незаконно приобретён и включён в арсенал киберпреступников менее чем за месяц после выхода новой версии.

Что такое SHELTER и почему он представляет опасность

SHELTER — это фреймворк, предназначенный для уклонения от обнаружения современными системами защиты, включая антивирусы и EDR (Endpoint Detection and Response). Конкретная версия, активно используемая злоумышленниками, — SHELTER Elite 11.0, выпущенная 16 апреля 2025 года. Этот инструмент обладает рядом передовых возможностей, позволяющих вредоносному ПО обходить статические методы обнаружения:

  • Самомодифицирующийся шелл-код с полиморфной обфускацией;
  • Выделение памяти с загрузкой свежей копии библиотеки ntdll.dll для обхода перехвата API;
  • Шифрование полезной нагрузки с использованием AES-128 в режиме CBC, с ключами, встроенными или получаемыми с серверов злоумышленников.

Такой многоуровневый подход значительно усложняет обратное проектирование и анализ вредоносного ПО, требуя от исследователей повышенных компетенций и ресурсов.

Особенности атак и применяемые инфокрады

Анализ Elastic Security Labs выявил несколько кампаний, нацеленных главным образом на создателей контента. В этих атаках широко используются фишинговые электронные письма, маскирующиеся под спонсорские предложения от известных брендов. В письмах содержатся ссылки на загрузки, включающие защищённые SHELTER исполняемые файлы, замаскированные под законный рекламный контент.

Полезная нагрузка, доставляемая в рамках этих кампаний, включает различные инфокрады, такие как LUMMA и RHADAMANTHYS. Эти вредоносные программы известны эффективностью в извлечении конфиденциальной информации из скомпрометированных систем, что представляет серьёзную угрозу для кибербезопасности пострадавших организаций и частных лиц.

Также фиксируются источники инфицирования, связанные с видеоконтентом на YouTube, посвящённым взлому игр. Злоумышленники направляют зрителей на вредоносные загрузки, размещённые на платформах вроде MediaFire.

Инструменты анализа и противодействия

Elastic Security Labs разработала динамический распаковщик, способный работать с двоичными файлами, защищёнными SHELTER. Он сочетает статический и динамический анализ для извлечения нескольких этапов полезной нагрузки из образцов вредоносного ПО. Несмотря на успехи, данный unpacker имеет ограничения из-за широты и сложности функционала SHELTER. Поэтому при использовании инструмента необходимы дополнительные меры предосторожности во избежание возникновения новых угроз.

Вызовы и перспективы

Несмотря на усилия законных разработчиков и охранных компаний по ограничению неподобающего использования инструментов вроде SHELTER, природа программного обеспечения двойного назначения остаётся проблематичной. Решительные и опытные хакеры продолжают использовать такие решения в злонамеренных целях, что ведёт к следующему:

  • Нарушению интеллектуальной собственности проекта Shellter;
  • Увеличению рисков для корпоративных и государственных сетей;
  • Развитию сложных и многоуровневых киберугроз, связанных с действующими лицами из сферы государственных интересов.

Как подчеркнули в Elastic Security Labs, анализ текущей ситуации призван вооружить специалистов по защите дополнительными знаниями для эффективного противостояния эволюционирующим методам инфокрадов, предвидя дальнейшую адаптацию и расширение наступательных возможностей в экосистеме кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Рост атак с использованием инфокрадов на базе SHELTER Elite 11.0".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются