Grupy hakerów przenoszą się z Cobalt Strike do Brute Ratel
Grupy hakerów w operacjach ransomware odchodzą od Cobalt Strike na rzecz bardziej zaawansowanego oprogramowania symulacyjnego dla Red Team & Adversary, Brute Ratel. Może nie tylko emulować różne etapy killchain, ale także dostarcza systematyczną oś czasu i wykres dla każdego z wykonanych ataków, aby pomóc zespołowi ds. Operacji bezpieczeństwa w walidacji ataków i ulepszeniu wewnętrznych mechanizmów obronnych. Brute Ratel jest wyposażony w kilka funkcji opsOpec, które mogą ułatwić zespołowi Red Team skupienie się na analitycznej części zadania, zamiast na stosowaniu narzędzi Open Source do post-eksploatacji. Brute Ratel jest platformą post-exploitation służąca do zarządzania zaatakowanymi hostami ofiar, jednak nie zapewnia funkcji generowania exploitów, takich jak metasploit lub funkcji skanowania podatności, takich jak Nessus, Acunetix lub BurpSuite. Działania te podjęte są w celu uniknięcia wykrycia przez systemy EDR i antywirusowe.
Zespoły ds. cyberbezpieczeństwa zazwyczaj składają się z pracowników, którzy próbują włamać się do sieci korporacyjnych (zespół czerwony) oraz tych, którzy aktywnie się przed nimi bronią (zespół niebieski). Oba zespoły dzielą się swoimi wnioskami, aby wzmocnić zabezpieczenia sieci w zakresie cyberbezpieczeństwa.
Przez lata jednym z najpopularniejszych narzędzi w Red Team był Cobalt Strike, jest to zestaw narzędzi umożliwiający atakującym rozmieszczenie „beacons” na zaatakowanych urządzeniach w celu zdalnego nadzoru i wykonywania poleceń. Cobalt Strike jest legalnym oprogramowaniem, niestety cyberprzestępcy udostępniają nielegalne wersje, co czyni go jednym z najpopularniejszych narzędzi wykorzystywanych przez hakerów w operacjach ransomware do rozprzestrzeniania się w infrastrukturze zaatakowanej sieci korporacyjnej.
Zespół badawczy ds. cyber zagrożeń Unit 42 Palo Alto, nieustannie poszukuje nowych i unikalnych próbek złośliwego oprogramowania, które pasują do znanych wzorców i taktyk stosowanych przez grupy APT. 19 maja 2022 jedna taka próbka została przesłana do VirusTotal, gdzie otrzymała niski poziom oceny zagrożenia od wszystkich 56 dostawców systemów ochrony, którzy ją ocenili. Oprócz oczywistych obaw związanych z wykrywaniem, zauważono, że próbka ta jest istotna pod względem złośliwego kodu, utrzymywania komunikacji i kontroli (C2) oraz metody pakowania pliku.
Próbka zawierała szkodliwy ładunek powiązany z Brute Ratel C4 (BRc4), najnowszym narzędziem do symulacji ataków dla zespołu red-team. Narzędzie to jest wyjątkowo niebezpieczne, ponieważ zostało specjalnie zaprojektowane w celu uniknięcia wykrycia przez funkcje wykrywania i reagowania w punktach końcowych EDR oraz systemy antywirusowe AV. O jego skuteczności w tym zakresie wyraźnie świadczy wspomniany wcześniej brak wykrywania wśród dostawców na VirusTotal.
Palo Alto wskazuje, że próbka pochodzi z adresu IP Amazon Web Services (AWS) znajdującego się w Stanach Zjednoczonych. Ponadto certyfikat X.509 na porcie nasłuchującym został skonfigurowany do podszywania się pod firmę Microsoft: nazwa organizacji „Microsoft”, jednostka organizacyjna „Bezpieczeństwo”. Ponadto, opierając się na certyfikacie i innych artefaktach, zidentyfikowano łącznie 41 złośliwych adresów IP, dziewięć próbek BRc4 i dodatkowo trzy organizacje w Ameryce Północnej i Południowej, do których do tej pory wpłynęło to narzędzie. Próbka ta została spakowana w sposób zgodny ze znanymi technikami grupy APT29 i ich ostatnimi kampaniami, w których wykorzystywano dobrze znane aplikacje do przechowywania w chmurze i współpracy online, spakowano ją jako samodzielne ISO, a w nim znajdował się plik skrótu Windows (LNK), złośliwa biblioteka DLL i legalna kopia Microsoft OneDrive Updater. Próba uruchomienia niegroźnej aplikacji z folderu na zamontowanym ISO spowodowała wczytanie złośliwego kodu, za pomocą techniki znanej jako przejmowanie kolejności wyszukiwania DLL.