Các phần tử độc hại đã được quan sát thấy lạm dụng phần mềm mô phỏng đối thủ hợp pháp trong các cuộc tấn công của họ nhằm cố gắng ở dưới tầm kiểm soát của radar và tránh bị phát hiện.
Palo Alto Networks Unit 42 cho biết một mẫu phần mềm độc hại được tải lên cơ sở dữ liệu VirusTotal vào ngày 19 tháng 5 năm 2022, chứa một trọng tải liên quan đến Brute Ratel C4, một bộ công cụ tinh vi tương đối mới “được thiết kế để tránh bị phát hiện bởi phát hiện và phản hồi điểm cuối (EDR) và chống vi-rút ( AV). “
Được ủy quyền bởi một nhà nghiên cứu bảo mật người Ấn Độ tên là Chetan Nayak, Brute Ratel (BRc4) tương tự như Cobalt Strike và được mô tả như một “trung tâm chỉ huy và kiểm soát tùy chỉnh cho mô phỏng đối thủ và đội đỏ.”
Phần mềm thương mại được phát hành lần đầu tiên vào cuối năm 2020 và từ đó đã có hơn 480 giấy phép trên 350 khách hàng. Mỗi giấy phép được cung cấp với giá 2.500 đô la cho mỗi người dùng trong một năm, sau đó nó có thể được gia hạn trong cùng thời hạn với chi phí là 2.250 đô la.
BRc4 được trang bị nhiều tính năng, chẳng hạn như chèn quá trình, tự động hóa TTP của đối thủ, chụp ảnh màn hình, tải lên và tải xuống tệp, hỗ trợ nhiều kênh điều khiển và ra lệnh cũng như khả năng giữ các phần mềm tạo tác bộ nhớ được che giấu khỏi các công cụ chống phần mềm độc hại , trong số những người khác.
Hiện vật, được tải lên từ Sri Lanka, giả mạo là sơ yếu lý lịch của một cá nhân tên là Roshan Bandara (“Roshan_CV.iso”) nhưng trên thực tế là một tệp hình ảnh đĩa quang, khi được nhấp đúp, nó sẽ gắn nó như một ổ đĩa Windows chứa tài liệu Word dường như vô hại, khi khởi chạy, cài đặt BRc4 trên máy của người dùng và thiết lập liên lạc với máy chủ từ xa.
Việc phân phối các tệp ISO đóng gói thường được gửi qua các chiến dịch email lừa đảo trực tuyến, mặc dù không rõ liệu phương pháp tương tự có được sử dụng để phân phối tải trọng tới môi trường mục tiêu hay không.
Các nhà nghiên cứu Mike Harbison và Peter Renals của Đơn vị 42 cho biết: “Thành phần của tệp ISO, Roshan_CV.ISO, gần giống với thành phần của ngành công nghiệp APT quốc gia khác” diễn viên nhà nước APT29 (hay còn gọi là Cozy Bear, The Dukes, hoặc Iron Hemlock).
APT29 đã trở nên nổi tiếng vào năm ngoái sau khi nhóm do nhà nước tài trợ bị đổ lỗi cho việc dàn dựng cuộc tấn công chuỗi cung ứng SolarWinds quy mô lớn.
Công ty an ninh mạng lưu ý rằng họ cũng phát hiện một mẫu thứ hai đã được tải lên VirusTotal từ Ukraine một ngày sau đó và có sự trùng lặp mã với mô-đun chịu trách nhiệm tải BRc4 trong bộ nhớ. Cuộc điều tra kể từ đó đã khai quật thêm bảy mẫu BRc4 có từ tháng 2 năm 2021.
Đó không phải là tất cả. Bằng cách kiểm tra máy chủ C2 được sử dụng như một kênh bí mật, một số nạn nhân tiềm năng đã được xác định. Điều này bao gồm một tổ chức của Argentina, một nhà cung cấp truyền hình IP cung cấp nội dung Bắc và Nam Mỹ, và một nhà sản xuất dệt may lớn ở Mexico.
Các nhà nghiên cứu cho biết: “Sự xuất hiện của một thử nghiệm thâm nhập mới và khả năng mô phỏng đối thủ là rất quan trọng. “Tuy nhiên, đáng báo động hơn là hiệu quả của BRc4 trong việc đánh bại khả năng phát hiện EDR và AV phòng thủ hiện đại.”
Ngay sau khi phát hiện được công khai, Nayak đã tweet rằng “các hành động thích hợp đã được thực hiện chống lại các giấy phép được tìm thấy được bán trên thị trường chợ đen”, việc bổ sung BRc4 v1.1 “sẽ thay đổi mọi khía cạnh của IoC được tìm thấy trong các bản phát hành trước.”
.
