Se ha observado a actores maliciosos que abusan del software de simulación de adversarios legítimos en sus ataques en un intento de pasar desapercibidos y evadir la detección.
Palo Alto Redes Unidad 42 dijo a muestra de malware cargado en la base de datos de VirusTotal el 19 de mayo de 2022, contenía una carga útil asociada con Brute Ratel C4, un conjunto de herramientas sofisticado relativamente nuevo «diseñado para evitar la detección mediante capacidades de detección y respuesta de punto final (EDR) y antivirus (AV)».
Escrito por un investigador de seguridad indio llamado Chetán NayakBrute Ratel (BRc4) es análogo a Cobalt Strike y es descrito como un «centro de comando y control personalizado para el equipo rojo y la simulación del adversario».
El software comercial se lanzó por primera vez a fines de 2020 y desde entonces ha obtenido más de 480 licencias en 350 clientes. Cada licencia se ofrece a $2500 por usuario durante un año, después del cual se puede renovar por la misma duración al costo de $2250.
BRc4 está equipado con una amplia variedad de características, como la inyección de procesos, la automatización de los TTP adversarios, la captura de capturas de pantalla, la carga y descarga de archivos, la compatibilidad con múltiples canales de comando y control y la capacidad de mantener ocultos los artefactos de memoria de los motores antimalware. , entre otros.
El artefacto, que se cargó desde Sri Lanka, se hace pasar por el currículum vitae de un individuo llamado Roshan Bandara («Roshan_CV.iso»), pero en realidad es un archivo de imagen de disco óptico que, al hacer doble clic, lo monta como una unidad de Windows. que contiene un documento de Word aparentemente inofensivo que, al iniciarse, instala BRc4 en la máquina del usuario y establece comunicaciones con un servidor remoto.
La entrega de archivos ISO empaquetados generalmente se envía a través de campañas de correo electrónico de phishing selectivo, aunque no está claro si se utilizó el mismo método para entregar la carga útil al entorno de destino.
«La composición del archivo ISO, Roshan_CV.ISO, se parece mucho a la de otras artesanías APT de estados nacionales», dijeron los investigadores de la Unidad 42 Mike Harbison y Peter Renals, señalando similitudes con la de un archivo ISO empaquetado previamente atribuido a la nación rusa. actor estatal APT29 (también conocido como Cozy Bear, The Dukes o Iron Hemlock).
APT29 saltó a la fama el año pasado después de que se culpara al grupo patrocinado por el estado de orquestar el ataque a la cadena de suministro de SolarWinds a gran escala.
La firma de ciberseguridad señaló que también detectó un segunda muestra que se subió a VirusTotal desde Ucrania un día después y cuyo código se superponía al de un módulo responsable de cargar BRc4 en la memoria. Desde entonces, la investigación ha descubierto siete muestras más de BRc4 que datan de febrero de 2021.
Eso no es todo. Al examinar el servidor C2 que se utilizó como canal encubierto, se identificaron varias víctimas potenciales. Esto incluye una organización argentina, un proveedor de televisión IP que proporciona contenido de América del Norte y del Sur y un importante fabricante textil en México.
«El surgimiento de una nueva prueba de penetración y capacidad de emulación de adversarios es significativo», dijeron los investigadores. «Aún más alarmante es la efectividad de BRc4 para derrotar las modernas capacidades defensivas de detección EDR y AV».
Poco después de que los hallazgos se hicieran públicos, Nayak tuiteó que «se han tomado las medidas adecuadas contra las licencias encontradas que se vendieron en el mercado negro», y agregó que BRc4 v1.1 «cambiará todos los aspectos de IoC que se encuentran en las versiones anteriores».