Набор инструментов для постэксплуатации Brute Ratel С4 был взломан и теперь бесплатно распространяется на хакерских форумах. Набор создан Четаном Наяком, бывшим членом Red Hat команды Mandiant и CrowdStrike, сообщают в Securitylab.
Исследователь киберугроз Уилл Томас (BushidoToken) сообщил , что взломанная копия Brute Ratel в настоящее время распространяется среди злоумышленников на хакерских форумах, в том числе BreachForums, CryptBB, RAMP, Exploit.in и Xss.is, а также различные группы Telegram и Discord.
На форумах XSS и Breached киберпреступники уже создали несколько тем, в которых они с середины сентября делятся взломанной версией Brute Ratel C4 версии 1.2.2.
Разработчик Brute Ratel Четан Наяк сообщил, что может отозвать лицензии у любых клиентов, использующих Brute Ratel в злонамеренных целях. Однако, по его словам, на VirusTotal была загружена лицензионная версия, которая затем была взломана группировкой «Molecules».
Brute Ratel может генерировать шелл-код, который не обнаруживается средствами безопасности. Это предоставляет хакеру достаточное количество времени, чтобы установить первоначальный доступ, совершить боковое перемещение и добиться постоянства в системе.
Brute Ratel C4 представляет из себя сложный набор инструментов «для избежания обнаружения с помощью EDR-решений и антивирусного ПО». Он является аналогом Cobalt Strike и описывается как «настраиваемый центр управления и контроля для красной команды (Red Team) и эмуляции противника».