BRc4 обходит средства защиты и обладает широкими возможностями
Подразделение Unit 42 компании Palo Alto Networks заявило , что образец вредоносного ПО, загруженный на VirusTotal 19 мая 2022 года , содержит полезную нагрузку Brute Ratel C4 (BRc4).
BRc4 представляет из себя сложный набор инструментов «для избежания обнаружения с помощью EDR-решений (endpoint detection and response) и возможностей антивирусного ПО». Созданный индийским ИБ-специалистом Четаном Наяком BRc4 является аналогом Cobalt Strike и описывается как «настраиваемый центр управления и контроля для красной команды (Red Team) и эмуляции противника».
ПО было впервые выпущено в конце 2020 года и с тех пор получило более 480 лицензий для 350 клиентов. Каждая лицензия стоит $2500 в год, ее можно продлить еще на год за $2250.
BRc4 оснащен широким спектром функций, таких как:
Brute Ratel также позволяет развертывать на скомпрометированном хосте маяки, которые могут быть размещены на сервере злоумышленника для получения команд или эксфильтрации данных.
Образец, который был загружен из Шри-Ланки, маскируется под биографические данные человека по имени Рошан Бандара («Roshan_CV.iso»). Файл представляет собой ISO-образ, который при запуске монтируется как диск Windows, содержащий Word-документ. При открытии документа BRc4 устанавливается на компьютер пользователя и настраивает связь с удаленным сервером. Доставка ISO-файлов обычно осуществлялась с помощью целевых фишинговых кампаний по электронной почте.
По словам исследователей Unit 42 Майка Харбисона и Питера Реналса, ISO-файл «Roshan_CV.iso» по структуре похож на ISO-файл APT-группы APT29 .
Unit 42 также обнаружила второй образец , который был загружен на VirusTotal из Украины 20 мая. Найденный образец так же загружает BRc4 в память. Более того, специалисты обнаружили еще 7 образцов BRc4, датированных февралем 2021 года.
При проверке C2 сервера, который используется в качестве скрытого канала, было выявлено несколько потенциальных жертв – поставщик IP-телевидения из Аргентины для Северной и Южной Америки, и крупный производитель текстиля в Мексике.
«Появление новых возможностей пентеста и эмуляции злоумышленника имеет большое значение. Еще более тревожной является эффективная защита BRc4 от современных EDR и AV-средств обнаружения», — заявили исследователи.
После публикации исследования, Четан Наяк написал в Twitter , что «в отношении найденных лицензий, которые были проданы в даркнете, были приняты надлежащие меры».
Никаких овечек — только отборные научные факты