{"id":248227,"date":"2022-07-06T13:30:46","date_gmt":"2022-07-06T13:30:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-abusan-de-la-herramienta-de-penetracion-brc4-red-team-en-ataques-para-evadir-la-deteccion\/"},"modified":"2022-07-06T13:30:47","modified_gmt":"2022-07-06T13:30:47","slug":"los-piratas-informaticos-abusan-de-la-herramienta-de-penetracion-brc4-red-team-en-ataques-para-evadir-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-abusan-de-la-herramienta-de-penetracion-brc4-red-team-en-ataques-para-evadir-la-deteccion\/","title":{"rendered":"Los piratas inform\u00e1ticos abusan de la herramienta de penetraci\u00f3n BRc4 Red Team en ataques para evadir la detecci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Se ha observado a actores maliciosos que abusan del software de simulaci\u00f3n de adversarios leg\u00edtimos en sus ataques en un intento de pasar desapercibidos y evadir la detecci\u00f3n.<\/p>\n<p>Palo Alto Redes Unidad 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/brute-ratel-c4-tool\/\" target=\"_blank\">dijo<\/a> a <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/1fc7b0e1054d54ce8f1de0cc95976081c7a85c7926c03172a3ddaa672690042c\" target=\"_blank\">muestra de malware<\/a> cargado en la base de datos de VirusTotal el 19 de mayo de 2022, conten\u00eda una carga \u00fatil asociada con Brute Ratel C4, un conjunto de herramientas sofisticado relativamente nuevo &#8220;dise\u00f1ado para evitar la detecci\u00f3n mediante capacidades de detecci\u00f3n y respuesta de punto final (EDR) y antivirus (AV)&#8221;.<\/p>\n<p>Escrito por un investigador de seguridad indio llamado <a rel=\"nofollow noopener\" href=\"https:\/\/0xdarkvortex.dev\/about\/\" target=\"_blank\">Chet\u00e1n Nayak<\/a>Brute Ratel (BRc4) es an\u00e1logo a Cobalt Strike y es <a rel=\"nofollow noopener\" href=\"https:\/\/bruteratel.com\/tabs\/features\/\" target=\"_blank\">descrito<\/a> como un &#8220;centro de comando y control personalizado para el equipo rojo y la simulaci\u00f3n del adversario&#8221;.<\/p>\n<p>El software comercial se lanz\u00f3 por primera vez a fines de 2020 y desde entonces ha obtenido m\u00e1s de 480 licencias en 350 clientes.  Cada licencia se ofrece a $2500 por usuario durante un a\u00f1o, despu\u00e9s del cual se puede renovar por la misma duraci\u00f3n al costo de $2250.<\/p>\n<p>BRc4 est\u00e1 equipado con una amplia variedad de caracter\u00edsticas, como la inyecci\u00f3n de procesos, la automatizaci\u00f3n de los TTP adversarios, la captura de capturas de pantalla, la carga y descarga de archivos, la compatibilidad con m\u00faltiples canales de comando y control y la capacidad de mantener ocultos los artefactos de memoria de los motores antimalware. , entre otros.<\/p>\n<p>El artefacto, que se carg\u00f3 desde Sri Lanka, se hace pasar por el curr\u00edculum vitae de un individuo llamado Roshan Bandara (&#8220;Roshan_CV.iso&#8221;), pero en realidad es un archivo de imagen de disco \u00f3ptico que, al hacer doble clic, lo monta como una unidad de Windows. que contiene un documento de Word aparentemente inofensivo que, al iniciarse, instala BRc4 en la m\u00e1quina del usuario y establece comunicaciones con un servidor remoto.<\/p>\n<p>La entrega de archivos ISO empaquetados generalmente se env\u00eda a trav\u00e9s de campa\u00f1as de correo electr\u00f3nico de phishing selectivo, aunque no est\u00e1 claro si se utiliz\u00f3 el mismo m\u00e9todo para entregar la carga \u00fatil al entorno de destino.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Herramienta de penetraci\u00f3n del equipo rojo BRc4\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657114246_533_Los-piratas-informaticos-abusan-de-la-herramienta-de-penetracion-BRc4.jpg\" title=\"Herramienta de penetraci\u00f3n del equipo rojo BRc4\" \/><\/div>\n<p>&#8220;La composici\u00f3n del archivo ISO, Roshan_CV.ISO, se parece mucho a la de otras artesan\u00edas APT de estados nacionales&#8221;, dijeron los investigadores de la Unidad 42 Mike Harbison y Peter Renals, se\u00f1alando similitudes con la de un archivo ISO empaquetado previamente atribuido a la naci\u00f3n rusa. actor estatal APT29 (tambi\u00e9n conocido como Cozy Bear, The Dukes o Iron Hemlock).<\/p>\n<p>APT29 salt\u00f3 a la fama el a\u00f1o pasado despu\u00e9s de que se culpara al grupo patrocinado por el estado de orquestar el ataque a la cadena de suministro de SolarWinds a gran escala.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La firma de ciberseguridad se\u00f1al\u00f3 que tambi\u00e9n detect\u00f3 un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/3ad53495851bafc48caf6d2227a434ca2e0bef9ab3bd40abfe4ea8f318d37bbe\" target=\"_blank\">segunda muestra<\/a> que se subi\u00f3 a VirusTotal desde Ucrania un d\u00eda despu\u00e9s y cuyo c\u00f3digo se superpon\u00eda al de un m\u00f3dulo responsable de cargar BRc4 en la memoria.  Desde entonces, la investigaci\u00f3n ha descubierto siete muestras m\u00e1s de BRc4 que datan de febrero de 2021.<\/p>\n<p>Eso no es todo.  Al examinar el servidor C2 que se utiliz\u00f3 como canal encubierto, se identificaron varias v\u00edctimas potenciales.  Esto incluye una organizaci\u00f3n argentina, un proveedor de televisi\u00f3n IP que proporciona contenido de Am\u00e9rica del Norte y del Sur y un importante fabricante textil en M\u00e9xico.<\/p>\n<p>&#8220;El surgimiento de una nueva prueba de penetraci\u00f3n y capacidad de emulaci\u00f3n de adversarios es significativo&#8221;, dijeron los investigadores.  &#8220;A\u00fan m\u00e1s alarmante es la efectividad de BRc4 para derrotar las modernas capacidades defensivas de detecci\u00f3n EDR y AV&#8221;.<\/p>\n<p>Poco despu\u00e9s de que los hallazgos se hicieran p\u00fablicos, Nayak <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/NinjaParanoid\/status\/1544334653976641536\" target=\"_blank\">tuite\u00f3<\/a> que &#8220;se han tomado las medidas adecuadas contra las licencias encontradas que se vendieron en el mercado negro&#8221;, y agreg\u00f3 que BRc4 v1.1 &#8220;cambiar\u00e1 todos los aspectos de IoC que se encuentran en las versiones anteriores&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-abusing-brc4-red-team.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado a actores maliciosos que abusan del software de simulaci\u00f3n de adversarios leg\u00edtimos en sus ataques<\/p>\n","protected":false},"author":1,"featured_media":248228,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[22345,4657,4656,2346,4661,86771,4664,34790,28129,4662,1086,6214,4668,4667,36,4654,4658,4659,4653,4655,18,86770,6213,4663,2770,4666,4665,3804,4660],"class_list":["post-248227","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusan","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-brc4","tag-como-hackear","tag-deteccion","tag-evadir","tag-filtracion-de-datos","tag-herramienta","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-penetracion","tag-piratas","tag-programa-malicioso-ransomware","tag-red","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-team","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/248227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=248227"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/248227\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/248228"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=248227"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=248227"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=248227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}