{"id":242459,"date":"2022-07-06T14:23:13","date_gmt":"2022-07-06T16:23:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-abusent-de-loutil-de-penetration-de-lequipe-rouge-brc4-dans-des-attaques-pour-echapper-a-la-detection\/"},"modified":"2022-07-06T14:23:14","modified_gmt":"2022-07-06T16:23:14","slug":"les-pirates-informatiques-abusent-de-loutil-de-penetration-de-lequipe-rouge-brc4-dans-des-attaques-pour-echapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-abusent-de-loutil-de-penetration-de-lequipe-rouge-brc4-dans-des-attaques-pour-echapper-a-la-detection\/","title":{"rendered":"Les pirates informatiques abusent de l&#8217;outil de p\u00e9n\u00e9tration de l&#8217;\u00e9quipe rouge BRc4 dans des attaques pour \u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s abusant de logiciels de simulation d&#8217;adversaires l\u00e9gitimes dans leurs attaques dans le but de rester sous le radar et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>Palo Alto R\u00e9seaux Unit\u00e9 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/brute-ratel-c4-tool\/\" target=\"_blank\">a dit<\/a> un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/1fc7b0e1054d54ce8f1de0cc95976081c7a85c7926c03172a3ddaa672690042c\" target=\"_blank\">\u00e9chantillon de logiciel malveillant<\/a> t\u00e9l\u00e9charg\u00e9 dans la base de donn\u00e9es VirusTotal le 19 mai 2022, contenait une charge utile associ\u00e9e \u00e0 Brute Ratel C4, une bo\u00eete \u00e0 outils sophistiqu\u00e9e relativement nouvelle &#8220;con\u00e7ue pour \u00e9viter la d\u00e9tection par les capacit\u00e9s de d\u00e9tection et de r\u00e9ponse des terminaux (EDR) et antivirus (AV)&#8221;.<\/p>\n<p>R\u00e9dig\u00e9 par un chercheur indien en s\u00e9curit\u00e9 nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/0xdarkvortex.dev\/about\/\" target=\"_blank\">Chetan Nayak<\/a>Brute Ratel (BRc4) est analogue \u00e0 Cobalt Strike et est <a rel=\"nofollow noopener\" href=\"https:\/\/bruteratel.com\/tabs\/features\/\" target=\"_blank\">d\u00e9crit<\/a> en tant que &#8220;centre de commandement et de contr\u00f4le personnalis\u00e9 pour la simulation de l&#8217;\u00e9quipe rouge et de l&#8217;adversaire&#8221;.<\/p>\n<p>Le logiciel commercial a \u00e9t\u00e9 publi\u00e9 pour la premi\u00e8re fois fin 2020 et a depuis acquis plus de 480 licences aupr\u00e8s de 350 clients.  Chaque licence est offerte \u00e0 2 500 $ par utilisateur pendant un an, apr\u00e8s quoi elle peut \u00eatre renouvel\u00e9e pour la m\u00eame dur\u00e9e au prix de 2 250 $.<\/p>\n<p>BRc4 est \u00e9quip\u00e9 d&#8217;une grande vari\u00e9t\u00e9 de fonctionnalit\u00e9s, telles que l&#8217;injection de processus, l&#8217;automatisation des TTP adverses, la capture d&#8217;\u00e9crans, le t\u00e9l\u00e9chargement de fichiers, la prise en charge de plusieurs canaux de commande et de contr\u00f4le et la possibilit\u00e9 de dissimuler les artefacts de m\u00e9moire aux moteurs anti-malware. , entre autres.<\/p>\n<p>L&#8217;artefact, qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 depuis le Sri Lanka, se fait passer pour le curriculum vitae d&#8217;une personne nomm\u00e9e Roshan Bandara (&#8220;Roshan_CV.iso&#8221;), mais en r\u00e9alit\u00e9, il s&#8217;agit d&#8217;un fichier image de disque optique qui, lorsqu&#8217;il est double-cliqu\u00e9, le monte comme un lecteur Windows. contenant un document Word apparemment inoffensif qui, lors du lancement, installe BRc4 sur la machine de l&#8217;utilisateur et \u00e9tablit des communications avec un serveur distant.<\/p>\n<p>La livraison de fichiers ISO empaquet\u00e9s est g\u00e9n\u00e9ralement envoy\u00e9e via des campagnes d&#8217;e-mails de harponnage, bien qu&#8217;il ne soit pas clair si la m\u00eame m\u00e9thode a \u00e9t\u00e9 utilis\u00e9e pour livrer la charge utile \u00e0 l&#8217;environnement cible.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Outil de p\u00e9n\u00e9tration BRc4 Red Team\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657124593_133_Les-pirates-informatiques-abusent-de-loutil-de-penetration-de-lequipe.jpg\" title=\"Outil de p\u00e9n\u00e9tration BRc4 Red Team\" \/><\/div>\n<p>&#8220;La composition du fichier ISO, Roshan_CV.ISO, ressemble \u00e9troitement \u00e0 celle d&#8217;autres artisanats APT d&#8217;\u00c9tats-nations&#8221;, ont d\u00e9clar\u00e9 les chercheurs de l&#8217;unit\u00e9 42 Mike Harbison et Peter Renals, appelant \u00e0 des similitudes avec celle d&#8217;un fichier ISO emball\u00e9 pr\u00e9c\u00e9demment attribu\u00e9 \u00e0 la nation russe. l&#8217;acteur d&#8217;\u00c9tat APT29 (alias Cozy Bear, The Dukes ou Iron Hemlock).<\/p>\n<p>APT29 est devenu c\u00e9l\u00e8bre l&#8217;ann\u00e9e derni\u00e8re apr\u00e8s que le groupe parrain\u00e9 par l&#8217;\u00c9tat a \u00e9t\u00e9 accus\u00e9 d&#8217;avoir orchestr\u00e9 l&#8217;attaque \u00e0 grande \u00e9chelle de la cha\u00eene d&#8217;approvisionnement SolarWinds.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a not\u00e9 qu&#8217;elle avait \u00e9galement rep\u00e9r\u00e9 un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/3ad53495851bafc48caf6d2227a434ca2e0bef9ab3bd40abfe4ea8f318d37bbe\" target=\"_blank\">deuxi\u00e8me \u00e9chantillon<\/a> qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal depuis l&#8217;Ukraine un jour plus tard et qui pr\u00e9sentait des chevauchements de code avec celui d&#8217;un module responsable du chargement de BRc4 en m\u00e9moire.  L&#8217;enqu\u00eate a depuis mis au jour sept autres \u00e9chantillons de BRc4 datant de f\u00e9vrier 2021.<\/p>\n<p>Ce n&#8217;est pas tout.  En examinant le serveur C2 qui a \u00e9t\u00e9 utilis\u00e9 comme canal secret, un certain nombre de victimes potentielles ont \u00e9t\u00e9 identifi\u00e9es.  Cela comprend une organisation argentine, un fournisseur de t\u00e9l\u00e9vision IP fournissant du contenu nord et sud-am\u00e9ricain et un important fabricant de textile au Mexique.<\/p>\n<p>&#8220;L&#8217;\u00e9mergence d&#8217;une nouvelle capacit\u00e9 de test d&#8217;intrusion et d&#8217;\u00e9mulation d&#8217;adversaires est importante&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Encore plus alarmante est l&#8217;efficacit\u00e9 du BRc4 \u00e0 vaincre les capacit\u00e9s d\u00e9fensives modernes de d\u00e9tection EDR et AV.&#8221;<\/p>\n<p>Peu de temps apr\u00e8s que les conclusions soient devenues publiques, Nayak <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/NinjaParanoid\/status\/1544334653976641536\" target=\"_blank\">tweet\u00e9<\/a> que &#8220;des mesures appropri\u00e9es ont \u00e9t\u00e9 prises contre les licences trouv\u00e9es qui ont \u00e9t\u00e9 vendues sur le march\u00e9 noir&#8221;, ajoutant que BRc4 v1.1 &#8220;changera tous les aspects d&#8217;IoC trouv\u00e9s dans les versions pr\u00e9c\u00e9dentes&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-abusing-brc4-red-team.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs malveillants ont \u00e9t\u00e9 observ\u00e9s abusant de logiciels de simulation d&#8217;adversaires l\u00e9gitimes dans leurs attaques dans le but de rester sous le radar et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection. Palo Alto R\u00e9seaux Unit\u00e9 42 a dit un \u00e9chantillon de logiciel malveillant t\u00e9l\u00e9charg\u00e9 dans la base de donn\u00e9es VirusTotal le 19 mai 2022, contenait une charge [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":242460,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[22357,8074,86769,4168,4158,4165,4161,429,133,41161,21314,8154,4157,4159,4171,4170,303,65,4167,5665,4160,4163,4162,86768,4394,185,4729,4172,4169,4166,4164],"class_list":["post-242459","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abusent","tag-attaques","tag-brc4","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-detection","tag-echapper","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lequipe","tag-les","tag-logiciel-malveillant-de-ransomware","tag-loutil","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-penetration","tag-pirates","tag-pour","tag-rouge","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/242459","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=242459"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/242459\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/242460"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=242459"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=242459"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=242459"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}