В современном мире киберугрозы продолжают эволюционировать, стремясь обходить системы защиты и оставаться незамеченными. Одним из новых тревожных случаев стало использование хакерами легальных инструментов безопасности в противоправных целях. В частности, внимание специалистов привлекли случаи распространения вредоносных программ Lumma Stealer и SectopRAT с помощью лицензии на популярный красный командный инструмент Shellter, который попал в руки злоумышленников после утечки. Shellter — это мощный инструмент, созданный для помощи специалистам по информационной безопасности в проведении тестов на проникновение. Он позволяет обходить традиционные антивирусные и средства обнаружения и предотвращения угроз на конечных точках, внедряя сложные и обходные методы шифрования и полиморфной обфускации в легитимные программы.
Изначально разработанный для законного использования, Shellter завоевал доверие специалистов по всему миру благодаря высокой эффективности в выявлении уязвимостей. Тем не менее, с февраля 2023 года, когда вышла продвинутая версия Shellter Pro Plus, были предусмотрены меры по защите интеллектуальной собственности и предотвращению несанкционированного использования. Вскоре компания-правообладатель столкнулась со сложной ситуацией: одна из компаний, приобретших лицензию на Shellter Elite, ненароком допустила утечку лицензии. В результате, она стала доступна для злоумышленников, которые быстро начали использовать преимущества инструмента в масштабных кампаниях по распространению кражи данных. Эксперты из Elastic Security Labs выявили, что активность с применением Shellter Elite версии 11.
0 стала заметна с апреля 2025 года. Сразу несколько групп, преследующих финансовую выгоду, начали применять этот инструмент для упаковки и доставки вредоносных payload-ов. Среди них выделяются такие угрозы, как Lumma Stealer, Rhadamanthys Stealer и SectopRAT, известный также как ArechClient2. Эти программы служат для кражи учетных данных, обхода защитных систем и получения несанкционированного доступа к конфиденциальной информации. Отличительной особенностью удачных заражений с использованием Shellter является применение самоизменяющегося шеллкода с полиморфной обфускацией.
Такой подход позволяет вредоносным файлам маскироваться под легитимные приложения, что значительно снижает вероятность их обнаружения стандартными антивирусными решениями и системами Endpoint Detection and Response (EDR). Получается, что оболочка Shellter не просто скрывает угрозы, но и постоянно меняет их структуру, усложняя для защитных механизмов задачу их идентификации. По данным Elastic, злоумышленники использовали различные методы социальной инженерии для распространения вредоносных программ. Например, распространяли ссылки на загрузку через сервис MediaFire под видом игровых модов для популярных игр, таких как Fortnite, либо через фишинговые сообщения с предложениями о спонсорстве для создателей контента на YouTube. Особенно активно Shellter-протектированные вредоносные программы распространялись с середины мая 2025 года, когда пиратская версия инструмента появилась на популярных форумах киберпреступного сообщества.
Ситуация с утечкой Shellter напоминает известные случаи с другими коммерческими инструментами для красной команды, такими как Cobalt Strike или Brute Ratel C4, которые также неоднократно попадали в руки злоумышленников и использовались для организации масштабных атак. Несмотря на усилия разработчиков по защите своих продуктов от неправомерного использования, недостаточная эффективность DRM-механизмов и человеческий фактор способствуют появлению свободного доступа к таким мощным средствам. Со стороны разработчиков Shellter была выпущена официальная позиция, где подчеркивалось, что они пострадали из-за утечки интеллектуальной собственности и вынуждены перенаправить ресурсы на усиление защиты лицензий. Компания также выражала недовольство в адрес Elastic Security Labs за то, что те не уведомили их своевременно о деталях исследования, что могло повлиять на ускорение реагирования и минимизацию ущерба. В свою очередь, Elastic подчеркнули культуру открытости и стремление информировать защитников информационных систем максимально быстро после подтверждения фактов злоупотребления.
Опыт с Shellter демонстрирует важность комплексного подхода к кибербезопасности. Помимо технических средств обнаружения и предотвращения атак, крайне важна культура безопасности, повышение осведомленности пользователей и оперативный обмен информацией между исследователями угроз и разработчиками защитных решений. Технические инновации в области полиморфной обфускации и методов обхода защиты заставляют специалистов постоянно совершенствовать тактики мониторинга и реагирования. Для корпоративного сектора и организаций особенно важно уделять внимание многослойной защите конечных точек и использовать поведенческий анализ, который способен выявлять аномальные действия даже в случае применения продвинутых инструментов вроде Shellter. Контроль над загрузками из недоверенных источников, обучение сотрудников и регулярное обновление систем безопасности снижают риски успешных атак с использованием стелс-механизмов.
В конечном счете, история с утечкой лицензии Shellter и последующим распространением Lumma Stealer и SectopRAT является очередным сигналом о том, что даже легальные инструменты безопасности могут стать двуострым мечом. С учетом постоянного усложнения методов атак и появления новых уязвимостей роль сотрудничества в сфере кибербезопасности невозможно переоценить. Только общими усилиями, включая прозрачность, ответственность и внимание к деталям, можно повысить уровень защиты от угроз, которые работают в тени и используют в своих целях самые современные технологии.
![What if the moon turned into a black hole? [Xkcd's What If?] [video]](/images/B5A7A86E-3493-44AD-B6C2-9662254A5857)
