-
09/04/2020
-
107
-
934 bài viết
Hacker lợi dụng Shellter Elite bị rò rỉ để phát tán mã độc đánh cắp thông tin
Tin tặc lợi dụng bản rò rỉ của công cụ Shellter Elite, sử dụng để triển khai phần mềm đánh cắp thông tin. Shellter xác nhận sự việc này xảy ra từ nhiều tháng qua do một khách hàng rò rỉ bản sao phần mềm, dẫn đến việc các tác nhân độc hại khai thác và phát tán phần mềm nguy hiểm.
Theo công bố chính thức từ chính nhà phát triển Shellter Project, một bản sao hợp pháp của Shellter Elite v11.0 đã bị rò rỉ, sau khi một khách hàng mua bản quyền hợp pháp. Bản bị rò rỉ này sau đó bị các nhóm tin tặc lợi dụng để khai thác, phát tán các loại mã độc đánh cắp thông tin (infostealer) như: Rhadamanthys, Lumma và Arechclient2.
Shellter đã phát hành bản cập nhật để khắc phục, trong khi Elastic Security Labs - nhóm nghiên cứu phát hiện ra sự việc này, bị chỉ trích vì không thông báo sớm về hoạt động khai thác này trong nội bộ ngành an ninh mạng.
Có thể hiểu Shellter Elite là một trình nạp (loader) dùng để tránh bị phát hiện bởi các phần mềm chống virus (AV) và giải pháp phát hiện/phòng ngừa điểm cuối (EDR). Công cụ này thường được dùng bởi:
- Các đội red team
- Chuyên gia pentest
- Các nhà nghiên cứu bảo mật
Mức độ nguy hiểm:
- Công cụ này cho phép tin tặc trốn tránh hoàn toàn phần mềm bảo mật phổ biến, từ đó thực thi infostealer mà không bị phát hiện.
- Với khả năng biến hóa payload, mã độc có thể ẩn mình trong các tiến trình Windows hợp pháp.
- Nếu bị khai thác rộng, Shellter Elite có thể trở thành một phần không thể thiếu trong chuỗi tấn công từ lừa đảo tới đánh cắp thông tin và mã hóa dữ liệu (ransomware).
Đối tượng bị ảnh hưởng:
- Người dùng Windows nói chung
- Doanh nghiệp sử dụng phần mềm bảo mật endpoint truyền thống
- Các tổ chức bị nhắm đến qua email, phishing hoặc phần mềm bên thứ ba
Nó cho phép "gói" các payload (mã thử nghiệm xâm nhập) vào các tiến trình hợp pháp trên Windows, vượt qua lớp bảo vệ bằng cách dùng kỹ thuật đa hình (polymorphism), tránh phân tích động (dynamic evasion) và lẩn tránh các cơ chế như:
- AMSI (Antimalware Scan Interface)
- ETW (Event Tracing for Windows)
- Kiểm tra chống VM/debug
- Che giấu call stack, module injection
- Decoy execution (thực thi mồi nhử)
Các payload được tạo bằng Shellter Elite v11.0 có tốc độ lẩn tránh cao, gây khó khăn trong việc phát hiện.
Các chuyên gia còn phát hiện ra rằng, mã độc còn được phát tán qua email lừa đảo (phishing) và thậm chí là thông qua bình luận trên YouTube - một hình thức tấn công bất ngờ và khó kiểm soát.
Các chuyên gia WhiteHat khuyến nghị người dùng:
Các chuyên gia còn phát hiện ra rằng, mã độc còn được phát tán qua email lừa đảo (phishing) và thậm chí là thông qua bình luận trên YouTube - một hình thức tấn công bất ngờ và khó kiểm soát.
Các chuyên gia WhiteHat khuyến nghị người dùng:
- Gỡ bỏ hoặc cập nhật Shellter lên bản v11.1 chính thức.
- Rà soát toàn bộ file .exe lạ trong hệ thống.
- Tích hợp IOC và detection rule từ Elastic.
- Cảnh báo kỹ thuật viên và người dùng nội bộ.
- Không sử dụng công cụ red-team không rõ nguồn gốc.
Vụ việc Shellter Elite bị rò rỉ và khai thác nhấn mạnh một thực tế đáng lo ngại: ngay cả công cụ phục vụ bảo mật cũng có thể bị biến thành vũ khí tấn công khi rơi vào tay kẻ xấu. Trong bối cảnh này, cộng đồng an ninh mạng cần có sự hợp tác cởi mở, minh bạch và chủ động chia sẻ thông tin bởi mọi lỗ hổng không báo cáo kịp thời sẽ nhanh chóng trở thành một mắt xích nguy hiểm trong chuỗi tấn công mạng.
Theo Bleeping Computer, WhiteHat