10/07/24
В киберпреступном сообществе всплыл активатор для актуальной версии инструмента постэксплуатации Brute Ratel C4 (BRC4). Об этом второго июля в своём аккаунте в социальной сети X* сообщил исследователь кибербезопасности под ником @knight0x07.
Инструмент Brute Ratel, хоть и менее популярный, чем Cobalt Strike, обладает схожими C2-возможностями и был разработан специально для обхода систем обнаружения угроз, таких как EDR и антивирусы. Вирусные аналитики подтвердили высокую эффективность инструмента в этом плане, пишет Securitylab.
На сайте разработчиков Brute Ratel описывается как продвинутый софт для имитации действий злоумышленников и моделирования атак. Программа помогает командам по безопасности анализировать атаки и улучшать защитные механизмы, предоставляя систематические отчёты и графики.
Тем не менее, злоумышленники пользуются подобным софтом даже чаще исследователей, поэтому его принадлежность к специализированным инструментам для ИБ-экспертов — весьма условная. Взломанная версия Brute Ratel 1.4.5 теперь может быть запущена без активационного ключа и использована кем угодно.
Наличие инструмента в открытом доступе вызывает серьёзные опасения, так как он генерирует шелл-код, не обнаруживаемый многими EDR и антивирусными продуктами. Это даёт злоумышленникам достаточно времени для установления начального доступа, перемещения по сети и установление постоянства.
Учитывая доступность продвинутых инструментов для злоумышленников, организациям следует усилить многоуровневую защиту своих сетей. Рекомендуется регулярно обновлять системы безопасности, проводить аудиты уязвимостей, использовать современные решения EDR и внедрять принципы нулевого доверия. Крайне важно также обучать персонал распознаванию киберугроз и правильному реагированию на любую подозрительную активность.
