Инструмент для пентеста используется в кибератаках

Подразделение Unit 42 компании Palo Alto Networks заявило , что образец вредоносного ПО, загруженный на VirusTotal 19 мая 2022 года , содержит полезную нагрузку Brute Ratel C4 (BRc4).

BRc4 представляет из себя сложный набор инструментов «для избежания обнаружения с помощью EDR-решений (endpoint detection and response) и возможностей антивирусного ПО». Созданный индийским ИБ-специалистом Четаном Наяком BRc4 является аналогом Cobalt Strike и описывается как «настраиваемый центр управления и контроля для красной команды (Red Team) и эмуляции противника».

ПО было впервые выпущено в конце 2020 года и с тех пор получило более 480 лицензий для 350 клиентов. Каждая лицензия стоит $2500 в год, ее можно продлить еще на год за $2250.

BRc4 оснащен широким спектром функций, таких как:

• внедрение процессов;
• автоматизация TTP злоумышленника;
• захват снимка экрана;
• загрузка и выгрузка файлов;
• поддержка нескольких каналов управления и контроля;
• скрытие артефактов от антивирусных систем.

Brute Ratel также позволяет развертывать на скомпрометированном хосте маяки, которые могут быть размещены на сервере злоумышленника для получения команд или эксфильтрации данных.

Образец, который был загружен из Шри-Ланки, маскируется под биографические данные человека по имени Рошан Бандара («Roshan_CV.iso»). Файл представляет собой ISO-образ, который при запуске монтируется как диск Windows, содержащий Word-документ. При открытии документа BRc4 устанавливается на компьютер пользователя и настраивает связь с удаленным сервером. Доставка ISO-файлов обычно осуществлялась с помощью целевых фишинговых кампаний по электронной почте.

По словам исследователей Unit 42 Майка Харбисона и Питера Реналса, ISO-файл «Roshan_CV.iso» по структуре похож на ISO-файл APT-группы APT29 .

Unit 42 также обнаружила второй образец , который был загружен на VirusTotal из Украины 20 мая. Найденный образец так же загружает BRc4 в память. Более того, специалисты обнаружили еще 7 образцов BRc4, датированных февралем 2021 года.

При проверке C2 сервера, который используется в качестве скрытого канала, было выявлено несколько потенциальных жертв – поставщик IP-телевидения из Аргентины для Северной и Южной Америки, и крупный производитель текстиля в Мексике.

«Появление новых возможностей пентеста и эмуляции злоумышленника имеет большое значение. Еще более тревожной является эффективная защита BRc4 от современных EDR и AV-средств обнаружения», — заявили исследователи.

После публикации исследования, Четан Наяк написал в Twitter , что «в отношении найденных лицензий, которые были проданы в даркнете, были приняты надлежащие меры».