Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Инструмент для пентеста используется в кибератаках

08/07/22

fdeed57fc32dbd7e26dd484ac2c2bd49

Подразделение Unit 42 компании Palo Alto Networks заявило , что образец вредоносного ПО, загруженный на VirusTotal 19 мая 2022 года , содержит полезную нагрузку Brute Ratel C4 (BRc4).

BRc4 представляет из себя сложный набор инструментов «для избежания обнаружения с помощью EDR-решений (endpoint detection and response) и возможностей антивирусного ПО». Созданный индийским ИБ-специалистом Четаном Наяком BRc4 является аналогом Cobalt Strike и описывается как «настраиваемый центр управления и контроля для красной команды (Red Team) и эмуляции противника». Это передает Securitylab.

ПО было впервые выпущено в конце 2020 года и с тех пор получило более 480 лицензий для 350 клиентов. Каждая лицензия стоит $2500 в год, ее можно продлить еще на год за $2250.

BRc4 оснащен широким спектром функций, таких как:

  • внедрение процессов;
  • автоматизация TTP злоумышленника;
  • захват снимка экрана;
  • загрузка и выгрузка файлов;
  • поддержка нескольких каналов управления и контроля;
  • скрытие артефактов от антивирусных систем.

 

Brute Ratel также позволяет развертывать на скомпрометированном хосте маяки, которые могут быть размещены на сервере злоумышленника для получения команд или эксфильтрации данных.

Образец, который был загружен из Шри-Ланки, маскируется под биографические данные человека по имени Рошан Бандара («Roshan_CV.iso»). Файл представляет собой ISO-образ, который при запуске монтируется как диск Windows, содержащий Word-документ. При открытии документа BRc4 устанавливается на компьютер пользователя и настраивает связь с удаленным сервером. Доставка ISO-файлов обычно осуществлялась с помощью целевых фишинговых кампаний по электронной почте.

По словам исследователей Unit 42 Майка Харбисона и Питера Реналса, ISO-файл «Roshan_CV.iso» по структуре похож на ISO-файл APT-группы APT29 .

Unit 42 также обнаружила второй образец , который был загружен на VirusTotal из Украины 20 мая. Найденный образец так же загружает BRc4 в память. Более того, специалисты обнаружили еще 7 образцов BRc4, датированных февралем 2021 года.

При проверке C2 сервера, который используется в качестве скрытого канала, было выявлено несколько потенциальных жертв – поставщик IP-телевидения из Аргентины для Северной и Южной Америки, и крупный производитель текстиля в Мексике.

«Появление новых возможностей пентеста и эмуляции злоумышленника имеет большое значение. Еще более тревожной является эффективная защита BRc4 от современных EDR и AV-средств обнаружения», — заявили исследователи.

После публикации исследования, Четан Наяк написал в Twitter , что «в отношении найденных лицензий, которые были проданы в даркнете, были приняты надлежащие меры».

 

 

Темы:ПреступленияПентестPalo Alto Unit 47
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Карьера пентестера: с чего начинать
    Андрей Горшков, специалист команды анализа защищенности Angara Security
    Тем, кто выбирает эту профессию, следует иметь в виду, что она требует постоянного развития и умения пользоваться библиотекой ресурсов для самообразования.
  • Взлом во благо: пентест и его место в ИБ-процессах
    Антон Соловьев, руководитель направления Positive Technologies компании MONT
    Организация и поддержка должного уровня ИБ требует комплексного подхода. Одна из его важнейших составляющих – “проверка боем”, или пентест, – тестирование надежности периметра защиты через попытку проникновения.
  • Автоматизация пентеста: на шаг впереди хакера
    Виктор Сердюк, Генеральный директор АО “ДиалогНаука”
    Традиционный подход к пентесту дает лишь статичный снимок того, как атакующий может взломать сеть в конкретный момент времени.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...