Se ha observado a actores maliciosos que abusan del software legítimo de simulación de adversarios en sus ataques en un intento de permanecer ocultos y evadir la detección.
La Unidad 42 de Palo Alto Networks dijo que una muestra de malware cargada en la base de datos VirusTotal el 19 de mayo de 2022 contenía una carga útil asociada con Brute Ratel C4, un conjunto de herramientas sofisticado relativamente nuevo «diseñado para evitar la detección por detección y respuesta de punto final (EDR) y antivirus ( AV) capacidades».
Escrito por un investigador de seguridad indio llamado Chetan Nayak , Brute Ratel (BRc4) es análogo a Cobalt Strike y se describe como un «centro de comando y control personalizado para el equipo rojo y la simulación del adversario».
El software comercial se lanzó por primera vez a fines de 2020 y desde entonces ha obtenido más de 480 licencias en 350 clientes. Cada licencia se ofrece a $2500 por usuario durante un año, después del cual se puede renovar por la misma duración al costo de $2250.
BRc4 está equipado con una amplia variedad de funciones, como la inyección de procesos, la automatización de los TTP adversarios, la captura de capturas de pantalla, la carga y descarga de archivos, la compatibilidad con múltiples canales de comando y control y la capacidad de mantener ocultos los artefactos de memoria de los motores antimalware. , entre otros.
El artefacto, que se cargó desde Sri Lanka, se hace pasar por el currículum vitae de una persona llamada Roshan Bandara («Roshan_CV.iso»), pero en realidad es un archivo de imagen de disco óptico que, al hacer doble clic, lo monta como una unidad de Windows. que contiene un documento de Word aparentemente inofensivo que, al iniciarse, instala BRc4 en la máquina del usuario y establece comunicaciones con un servidor remoto.
La entrega de archivos ISO empaquetados generalmente se envía a través de campañas de correo electrónico de phishing selectivo, aunque no está claro si se utilizó el mismo método para entregar la carga útil al entorno de destino.
«La composición del archivo ISO, Roshan_CV.ISO, se parece mucho a la de otras artesanías APT de estados nacionales», dijeron los investigadores de la Unidad 42 Mike Harbison y Peter Renals, señalando similitudes con la de un archivo ISO empaquetado previamente atribuido a la nación rusa. actor estatal APT29 (también conocido como Cozy Bear, The Dukes o Iron Hemlock).
APT29 saltó a la fama el año pasado después de que se culpara al grupo patrocinado por el estado de orquestar el ataque a la cadena de suministro a gran escala de SolarWinds .
La empresa de ciberseguridad señaló que también detectó una segunda muestra que se cargó a VirusTotal desde Ucrania un día después y que mostraba superposiciones de código con el de un módulo responsable de cargar BRc4 en la memoria. Desde entonces, la investigación ha descubierto siete muestras más de BRc4 que datan de febrero de 2021.
Eso no es todo. Al examinar el servidor C2 que se utilizó como canal encubierto, se identificaron varias víctimas potenciales. Esto incluye una organización argentina, un proveedor de televisión IP que proporciona contenido de América del Norte y del Sur y un importante fabricante textil en México.
«La aparición de una nueva prueba de penetración y capacidad de emulación de adversarios es significativa», dijeron los investigadores. «Aún más alarmante es la efectividad de BRc4 para derrotar las modernas capacidades defensivas de detección EDR y AV».
Poco después de que los hallazgos se hicieran públicos, Nayak tuiteó que «se tomaron las medidas adecuadas contra las licencias encontradas que se vendieron en el mercado negro», y agregó que BRc4 v1.1 «cambiará todos los aspectos de IoC encontrados en las versiones anteriores».
Fuente: https://thehackernews.com