骇客滥用合法的资安演练工具从事攻击行动,最常见的莫过于渗透测试工具Cobalt Strike,不过这样的现象自2022年下旬出现变化,有人利用红队工具Brute Ratel C4(BRc4)犯案,去年出现利用红队演练框架7月3日,企业资料搜寻分析解决方案业者Elastic这起事故也突显两个议题,其中一个便是红队演练工具开发团队都会通常审核、列管买家,无论客户有意或不慎外流档案,厂商要如何防范工具遭到流出及滥用的难题;另一个则是研究人员的通报流程出现瑕疵,没有及时通知软体开发者,而被发现该公司疑似已知情一段时间的情况。
Elastic在7月3日提出的说法是:他们在6月份察觉多起窃资软体攻击行动,共通点是都受到付费版Shellter(Shellter Elite)防护,最早滥用的是Lumma Stealer(LummaC2),骇客从4月底开始利用,并将相关档案存放在云端档案共享平台MediaFire。
Elastic接著再循线调查,发现5月中旬有人在骇客论坛兜售Shellter Elite的授权,接著在5月下旬,有另一款窃资软体Arechcliect2(Sectop RAT)也采用此工具处理,攻击者针对YouTube频道的内容创作者而来,假借Udemy、Skillshare、Pinnacle Studio、Duolingo等应用程式品牌,寄送网钓邮件,这些邮件内含能下载RAR档案的URL。
而且,后续第三款窃资软体Rhadamanthys也出现类似的特征,攻击者主要的目标是游戏玩家,假借游戏修改或是破解,透过YouTube频道散布。但与前两款窃资软体有所不同的是,已有126人察觉有异,将档案上传到恶意软体分析平台VirusTotal。而这些窃资软体盗用的Shellter Elite,其授权的有效期限都到2026年4月17日。
针对Elastic揭发的这起事故,Shellter其实是有两次公开回应,陆续在7月4日、7月10日透过部落格说明处理情形。首先,他们感谢Elastic提供相关档案、协助确认有问题的客户身分,但Elastic可能已经掌握情资长达数个月,而在6月3日发布的9.0.2版程式(编按: