Хакерские APT-группы и операции вымогателей переходят от Cobalt Strike к новому, более продвинутому, инструментарию Brute Ratel, чтобы избежать обнаружения EDR и антивирусными решениями.
Корпоративные команды кибербезопасности обычно состоят из сотрудников, которые пытаются взломать корпоративные сети (красная команда) и тех, кто активно защищается от них (синяя команда). Затем обе команды обмениваются заметками после взаимодействия по укреплению защиты кибербезопасности сети.
В течение многих лет одним из самых популярных инструментов в команде «красных» был Cobalt Strike, инструментарий, позволяющий злоумышленникам развертывать «маяки» на скомпрометированных устройствах для выполнения удаленного сетевого наблюдения или выполнения команд.
APT это сокращение от Advanced Persistent Threat, то есть сложная постоянная угроза. Термин известен давно, но стал действительно популярен после разоблачительного материала в «Нью-Йорк таймс», где рассказывалось об атаке на эту газету, устроенной китайской военной структурой, теперь известной как APT 1
В то время как Cobalt Strike является легальным программным обеспечением, злоумышленники делятся взломанными версиями в Интернете, что делает его одним из самых популярных инструментов, используемых хакерами и операциями вымогателей для бокового распространения через взломанные корпоративные сети.
Хакеры переключаются на Brute Ratel
В 2020 году Четан Наяк, бывший «бригадир» красных в Mandiant и CrowdStrike, выпустил Brute Ratel Command and Control Center (BRc4) в качестве альтернативы Cobalt Strike для тестирования на проникновение «красной команды».
Как и Cobalt Strike, Brute Ratel - это инструмент моделирования состязательной атаки, который позволяет «красным» командам развертывать «Badgers» (аналогично маякам в Cobalt Strike) на удаленных хостах. Эти «красным» подключаются обратно к серверу управления и контроля злоумышленника для получения команд для выполнения или передачи выходных данных ранее выполненных команд.
Обнаружение и реагирование на конечные точки (EDR), также известное как обнаружение и реагирование на угрозы конечных точек (ETDR), представляет собой технологию кибербезопасности, которая постоянно контролирует «конечную точку» (например, мобильный телефон, ноутбук, устройство Интернета вещей) для смягчения вредоносных киберугроз.
В новом отчете Palo Alto Unit 42 исследователи заметили, что злоумышленники отходят от Cobalt Strike к использованию Brute Ratel в качестве инструмента для постэксплуатации.
Это изменение в тактике является значительным, поскольку BRc4 предназначен для уклонения от обнаружения EDR и антивирусными решениями, причем почти все программное обеспечение безопасности не обнаруживает его как вредоносное при первом обнаружении в дикой природе.
«Хотя эта способность сумела остаться вне центра внимания и остается менее известной, чем ее братья Cobalt Strike, она не менее сложна», — объясняет отчет Unit 42.
«Вместо этого этот инструмент уникально опасен тем, что он был специально разработан, чтобы избежать обнаружения по возможностям обнаружения и реагирования конечных точек (EDR) и антивируса (AV). Его эффективность в этом может быть ясно засвидетельствована вышеупомянутым отсутствием обнаружения у поставщиков VirusTotal».
В атаках APT29 (они же CozyBear и Dukes), злоумышленники распространяют вредоносные ISO-образы, которые якобы содержат представленное резюме (CV).
Однако файл резюме «Roshan-Bandara_CV_Dialog» на самом деле является ярлыком Windows, который запускает связанный файл OneDriveUpdater.exe, как показано в свойствах файла ниже.
Хотя OneDriveUpdater.exe является легальным исполняемым файлом Майкрософт, включенная версия .dll, которая загружается программой, была изменена, чтобы действовать как загрузчик для Brute Ratel badger, который загружается в процесс RuntimeBroker.exe.
Как только Brute Ratel badger загружен, злоумышленники могут удаленно получить доступ к скомпрометированному устройству для выполнения команд и распространения дальше во взломанной сети.
Банды вымогателей вступают в действие
Brute Ratel в настоящее время стоит 2 500 долларов США на пользователя за годовую лицензию, при этом клиенты должны предоставить рабочий адрес электронной почты и пройти проверку перед выдачей лицензии.
«Но из-за характера программного обеспечения мы продаем продукт только зарегистрированным компаниям и частным лицам с официальным деловым адресом электронной почты / доменом после проверки бизнеса и истории работы человека», — объясняет страница цен Brute Ratel.
Поскольку это процесс ручной проверки, возникает вопрос о том, как злоумышленники получают лицензии на программное обеспечение.
Разработчик Brute Ratel Четан Наяк предположил, что лицензия, используемая в атаках, о которых сообщил Unit 42, просочилась от недовольного сотрудника одного из его клиентов.
Поскольку полезные нагрузки позволяют разработчикам видеть, на кого они лицензированы, он смог идентифицировать и отозвать лицензию у супостата.
Однако, по словам генерального директора AdvIntel Виталия Кремеза, бывшие участники синдиката Conti Ransomware также начали приобретать лицензии, создавая поддельные американские компании для прохождения системы проверки лицензирования.
«Преступники, стоящие за бывшими операциями вымогателей Conti, изучили несколько наборов для тестирования на проникновение, помимо использования Cobalt Strike», — сказал Кремез BleepingComputer в разговоре.
«В одном конкретном случае они получили доступ к комплекту Brute Ratel, который использовался для пост-эксплуатации в целевых атаках от загрузчика BumbleBee. Конечной целью использования Brute Ratel была постэксплуатационная структура для бокового перемещения и последующего шифрования сети с помощью полезной нагрузки вымогателей».
«Чтобы получить доступ к лицензиям Brute Ratel, злоумышленники создают поддельные американские компании, которые используются в рамках процесса проверки».