Grupos de hackers APT e operações de ransomware estão se afastando do Cobalt Strike para o mais novo kit de ferramentas de pós-exploração Brute Ratel para evitar a detecção por soluções EDR e antivírus.
As equipes corporativas de segurança cibernética geralmente consistem em funcionários que tentam violar redes corporativas (equipe vermelha) e aqueles que se defendem ativamente delas (equipe azul). Ambas as equipes compartilham notas após compromissos para fortalecer as defesas de segurança cibernética de uma rede.
Durante anos, uma das ferramentas mais populares nos compromissos da equipe vermelha foi o Cobalt Strike, um kit de ferramentas que permite que invasores implantem "beacons" em dispositivos comprometidos para realizar vigilância remota de rede ou executar comandos.
Embora o Cobalt Strike seja um software legítimo, os agentes de ameaças compartilham versões crackeadas online, tornando-o uma das ferramentas mais populares usadas por hackers e operações de ransomware para se espalhar lateralmente por redes corporativas violadas.
Hackers mudam para Brute Ratel
Em 2020, Chetan Nayak, ex-equipe vermelho da Mandiant e CrowdStrike, lançou o Brute Ratel Command and Control Center (BRc4) como uma alternativa ao Cobalt Strike para compromissos de teste de penetração da equipe vermelha.
Assim como o Cobalt Strike, o Brute Ratel é uma ferramenta de simulação de ataque adversário que permite que os red teamers implantem 'Badgers' (semelhantes aos beacons no Cobalt Strike) em hosts remotos. Esses texugos se conectam de volta ao servidor de Comando e Controle do invasor para receber comandos para executar ou transmitir a saída de comandos executados anteriormente.
Em um novo relatório da Unidade 42 de Palo Alto, os pesquisadores identificaram os agentes de ameaças se afastando do Cobalt Strike para usar o Brute Ratel como seu kit de ferramentas pós-exploração preferido.
Essa mudança de tática é significativa, pois o BRc4 foi projetado para evitar a detecção por EDR e soluções antivírus, com quase todos os softwares de segurança não detectando-o como malicioso quando detectado pela primeira vez na natureza.
"Embora esse recurso tenha conseguido ficar fora dos holofotes e permaneça menos conhecido do que seus irmãos Cobalt Strike , não é menos sofisticado", explica o relatório da Unidade 42.
"Em vez disso, essa ferramenta é especialmente perigosa, pois foi projetada especificamente para evitar a detecção por recursos de detecção e resposta de endpoint (EDR) e antivírus (AV). Vírus Total."
Em ataques suspeitos de estarem vinculados ao grupo de hackers patrocinado pelo Estado russo APT29 (também conhecido como CozyBear e Dukes), os agentes de ameaças distribuem ISOs maliciosos que supostamente contêm um currículo enviado (CV).
Conteúdo do arquivo ISO maliciosoFonte: BleepingComputer
No entanto, o arquivo de currículo 'Roshan-Bandara_CV_Dialog' é na verdade um atalho do Windows que iniciará o arquivo OneDriveUpdater.exe, conforme mostrado nas propriedades do arquivo abaixo.
Atalho do Windows disfarçado de CV para iniciar um programaFonte: BleepingComputer
Embora o OneDriveUpdater.exe seja um executável legítimo da Microsoft, o version.dll incluído que é carregado pelo programa foi modificado para atuar como um carregador para um texugo Brute Ratel, que é carregado no processo RuntimeBroker.exe.
Depois que o texugo Brute Ratel é carregado, os agentes da ameaça podem acessar remotamente o dispositivo comprometido para executar comandos e se espalhar ainda mais na rede agora violada.
Gangues de ransomware entram em ação
Atualmente, o Brute Ratel custa US$ 2.500 por usuário para uma licença de um ano, com os clientes obrigados a fornecer um endereço de e-mail comercial e serem verificados antes da emissão da licença.
"Mas devido à natureza do software, só vendemos o produto para empresas registradas e indivíduos com um endereço de e-mail/domínio oficial após verificar o negócio e o histórico de trabalho da pessoa", explica a página de preços do Brute Ratel.
Como este é um processo de verificação manual, levanta a questão de como os agentes de ameaças recebem licenças de software.
O desenvolvedor do Brute Ratel Chetan Nayak disse ao BleepingComputer que a licença usada nos ataques relatados pela Unidade 42 vazou por um funcionário descontente de um de seus clientes.
Como as cargas úteis permitem que Nayak veja para quem estão licenciados, ele conseguiu identificar e revogar a licença.
No entanto, de acordo com o CEO da AdvIntel, Vitali Kremez, ex-membros do ransomware Conti também começaram a adquirir licenças criando empresas americanas falsas para passar no sistema de verificação de licenciamento.
“Os criminosos por trás das antigas operações de ransomware Conti exploraram vários kits de teste de penetração além do uso do Cobalt Strike”, disse Kremez à BleepingComputer em uma conversa.
"Em um caso particular, eles obtiveram acesso ao kit Brute Ratel que foi usado para pós-exploração em ataques direcionados do BumbleBee loader. carga útil do ransomware."
"Para obter acesso às licenças do Brute Ratel, os agentes de ameaças criam empresas americanas falsas que são usadas como parte do processo de verificação".
A BleepingComputer entrou em contato com o criador do Brute Ratel, Chetan Nayak, com perguntas sobre o processo de verificação, mas não obteve resposta.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/ransomware-gangs-apt-groups-ditch-cobalt-strike-for-brute-ratel/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário