Elastic Security Labs ontdekt nieuwe SHELBY malware familie

De naam van de geïdentificeerde malware familie komt van de kwaadaardige GitHub accounts die erachter zaten - arthurshellby en johnshelllby - een knipoog naar Peaky Blinders personages. Beide accounts zijn inmiddels uitgeschakeld. Detectie van SHELBY blijkt moeilijk, omdat de aanval bestaat uit twee nieuwe malware, SHELBYLOADER en SHELBYC2, die GitHub commits gebruiken - een veel voorkomende praktijk in veel organisaties die software ontwikkelen. Ze bootsen vaak legitieme activiteit van GitHub-tools van derden na, wat detectie nog moeilijker maakt. 

Personal Access Tokens

SHELBY vertrouwt op Personal Access Tokens (persoonlijke toegangstokens) om toegang te krijgen tot een privé repository, waardoor het zich kan authenticeren en acties kan uitvoeren zonder gebruik te maken van de standaard Git keten. Het ongebruikelijke C2-ontwerp van de aanvaller heeft echter een kritieke fout: iedereen met deze malware en het PAT-token voor een geassocieerde repository kan geïnfecteerde machines besturen, waardoor een aanzienlijk beveiligingslek wordt blootgelegd. Als een slachtoffer bovendien samples uploadt naar platforms zoals VirusTotal of MalwareBazaar, kan een willekeurige derde partij toegang krijgen tot infectiegerelateerde gegevens of de infecties volledig overnemen. Zowel de loader als de backdoor zijn versluierd met het open-source hulpprogramma Obfuscar, dat onder andere string-encryptie gebruikt. Door gebruik te maken van de4dot met aangepaste parameters kan de code effectief worden ontsluierd.

De ongebruikte code en dynamische payload die werden gevonden in de analyse van Elastic Security Labs duiden erop dat de malware actief in ontwikkeling is, wat aangeeft dat toekomstige updates problemen met de huidige versies kunnen verhelpen. De SHELBY-malwarefamilie wordt vermoedelijk gelinkt aan spionage-actoren met regionale belangen.