Elastic Security Labs đã phát hiện nhiều chiến dịch đang lạm dụng SHELLTER, một framework thương mại dùng để lẩn tránh các giải pháp Antivirus (AV) và Endpoint Detection and Response (EDR). Ban đầu, công cụ này được thiết kế cho các đánh giá bảo mật tấn công bởi các đội ngũ đỏ (red team).
Tổng quan về SHELLTER và Mục đích sử dụng ban đầu
SHELLTER là một công cụ có khả năng lưỡng dụng, được Shellter Project tiếp thị với mục đích chính là vượt qua các giải pháp AV và EDR. Khung làm việc này cung cấp các tính năng mạnh mẽ cho phép các chuyên gia bảo mật hợp pháp kiểm tra và đánh giá khả năng phòng thủ của hệ thống. Tuy nhiên, khả năng này cũng là một mối đe dọa đáng kể khi công cụ rơi vào tay các tác nhân độc hại.
Mặc dù Shellter Project đã nỗ lực ngăn chặn việc sử dụng công cụ này cho mục đích xấu thông qua các biện pháp bảo vệ như giới hạn bán hàng theo khu vực địa lý và Thỏa thuận cấp phép người dùng cuối (EULA), các tác nhân đe dọa vẫn có thể khai thác nó. Điều này cho phép chúng kéo dài thời gian tồn tại của các công cụ độc hại, bất chấp các biện pháp bảo vệ của nhà cung cấp.
Sự lạm dụng SHELLTER bởi các Tác nhân đe dọa
Chiến dịch và Phiên bản được khai thác
Kể từ cuối tháng 4 năm 2025, các tác nhân đe dọa đã được quan sát sử dụng Shellter Elite v11.0, phiên bản được phát hành vào ngày 16 tháng 4 năm 2025. Công cụ này được dùng để đóng gói và triển khai nhiều loại phần mềm độc hại đánh cắp thông tin (infostealer).
Các chiến dịch này đã nhắm mục tiêu vào nhiều nhóm đối tượng khác nhau, được Elastic Security Labs ghi nhận từ tháng 4 năm 2025. Mục đích chính là phân phối các infostealer phổ biến.
Các kỹ thuật lẩn tránh và tính năng chính của SHELLTER
SHELLTER sở hữu các khả năng tinh vi, làm cho nó trở thành một công cụ mạnh mẽ để lẩn tránh các cơ chế phát hiện cả tĩnh và động. Các tính năng nổi bật bao gồm:
- Mã rác đa hình (Polymorphic Junk Code): Thay đổi cấu trúc mã để tránh phát hiện dựa trên chữ ký.
- Mã hóa Payload bằng AES-128 CBC: Mã hóa tải trọng độc hại, khiến việc phân tích tĩnh trở nên khó khăn hơn và làm cản trở quá trình trích xuất thông tin.
- Unhooking System Modules: Hủy bỏ các hook mà các giải pháp bảo mật đặt trên các mô-đun hệ thống, cho phép mã độc thực thi mà không bị giám sát hoặc bị gián đoạn.
- Tính năng chống phân tích nâng cao: Bao gồm khả năng phát hiện trình gỡ lỗi (debugger detection) để ngăn chặn phân tích ngược và vượt qua Giao diện quét phần mềm độc hại của Antimalware Scan Interface (AMSI bypass) để tránh bị hệ thống Windows phát hiện.
Những tính năng này góp phần vào tỷ lệ phát hiện thấp của các mẫu được bảo vệ bởi SHELLTER trên các nền tảng như VirusTotal, do các tính năng lẩn tránh được xây dựng tùy chỉnh của công cụ.
Phân tích Chiến dịch và Phần mềm độc hại
Các Infostealer được triển khai
Trong các chiến dịch được quan sát, SHELLTER đã được sử dụng để phát tán các loại infostealer sau:
- LUMMA
- ARECHCLIENT2 (còn gọi là SECTOP RAT)
- RHADAMANTHYS
Việc sử dụng SHELLTER giúp các infostealer này kéo dài tuổi thọ và khả năng lây nhiễm, gây khó khăn cho việc phát hiện và loại bỏ chúng bởi các giải pháp bảo mật truyền thống.
Kỹ thuật phân phối và Lẩn tránh phát hiện
Các tác nhân đe dọa sử dụng nhiều chiến thuật để phân phối các tải trọng được bảo vệ bởi SHELLTER:
- Mồi nhử lừa đảo (Phishing Lures): Thường ngụy trang dưới dạng lời mời tài trợ hấp dẫn cho những người tạo nội dung (content creators) hoặc các ưu đãi khác để dụ dỗ nạn nhân tải xuống tệp độc hại.
- Liên kết độc hại trong bình luận YouTube: Đặc biệt liên quan đến các bản mod trò chơi (gaming mods), nhắm mục tiêu vào cộng đồng game thủ thông qua các liên kết bị xâm phạm hoặc được chèn vào các cuộc thảo luận.
Quá trình phân phối thường diễn ra qua các nền tảng lưu trữ tệp phổ biến như MediaFire. Để tăng cường khả năng lẩn tránh, các tác nhân còn thực hiện việc backdoor các ứng dụng hợp pháp và áp dụng chứng chỉ ký mã (code-signing certificates) đánh cắp hoặc giả mạo. Điều này làm cho các tệp độc hại trông có vẻ đáng tin cậy hơn đối với người dùng và các hệ thống bảo mật, làm giảm khả năng bị gắn cờ là độc hại.
Phản ứng và Khuyến nghị từ Elastic Security Labs
Giải pháp giải nén và Phát hiện
Để đối phó với mối đe dọa này, Elastic Security Labs đã phát triển và phát hành một công cụ giải nén động (dynamic unpacker) cho các tệp nhị phân được bảo vệ bởi SHELLTER. Công cụ này cho phép các nhà phân tích bảo mật trích xuất và phân tích tải trọng độc hại ẩn sâu bên trong các tệp được bảo vệ. Tuy nhiên, để đảm bảo an toàn và tránh lây nhiễm cho hệ thống phân tích, công cụ này phải được chạy trong các môi trường cô lập (isolated environments) như máy ảo hoặc sandbox chuyên dụng.
Dấu hiệu nhận biết và Ảnh hưởng
Một điểm đáng chú ý trong quá trình phân tích là sự nhất quán về ngày hết hạn giấy phép (license expiry date) là ngày 17 tháng 4 năm 2026 trên tất cả các mẫu được thu thập. Điều này cho thấy có thể chỉ có một bản sao trái phép duy nhất của SHELLTER đang được lưu hành, ngụ ý về một mức độ lạm dụng hạn chế nhưng có tác động đáng kể trong các chiến dịch tấn công.
Những tác động của việc lạm dụng SHELLTER là rất quan trọng đối với bối cảnh an ninh mạng toàn cầu. Bất chấp những nỗ lực của Shellter Project nhằm ngăn chặn việc sử dụng độc hại, các tác nhân đe dọa vẫn tiếp tục khai thác những công cụ tiên tiến như vậy, đặt ra những thách thức lớn cho các nhà phòng thủ. Việc các công cụ lưỡng dụng bị lạm dụng cho mục đích xấu đã trở thành một xu hướng đáng lo ngại trong an ninh mạng.
Elastic Security Labs dự đoán rằng phiên bản trái phép này sẽ vẫn tồn tại trong các cộng đồng tội phạm và thậm chí có thể thu hút sự chú ý của các tác nhân tấn công do nhà nước tài trợ (nation-state actors) trong tương lai, những kẻ tìm kiếm các công cụ mạnh mẽ để duy trì khả năng tồn tại. Các bản cập nhật trong tương lai từ Shellter Project dự kiến sẽ giải quyết các cơ hội phát hiện được nêu bật trong nghiên cứu này, nhưng việc các thực thể độc hại liên tục nhắm mục tiêu vào các công cụ tiên tiến như vậy để phát triển kỹ thuật lẩn tránh vẫn là một mối lo ngại cấp bách.
Chỉ số Nhận dạng Đe dọa (IOCs)
Dựa trên các chiến dịch được Elastic Security Labs quan sát, các phần mềm độc hại sau đây đã được triển khai thông qua SHELLTER:
- LUMMA (Infostealer)
- ARECHCLIENT2 (còn gọi là SECTOP RAT – Remote Access Trojan/Infostealer)
- RHADAMANTHYS (Infostealer)
Hiện tại, thông tin về các chỉ số kỹ thuật khác như hàm băm tệp (file hashes), địa chỉ IP, hoặc tên miền cụ thể chưa được cung cấp trong nội dung này. Các nhà phòng thủ được khuyến nghị sử dụng các quy tắc YARA và các dấu hiệu nhận biết khác (observables) do Elastic Security Labs cung cấp để phát hiện và giảm thiểu các mối đe dọa này một cách sớm nhất, đồng thời chuẩn bị cho khả năng mở rộng các kỹ thuật lẩn tránh này trên các phạm vi tấn công rộng lớn hơn trong tương lai.
