Οι ομάδες εισβολής και οι λειτουργίες ransomware APT απομακρύνονται από το Cobalt Strike για τη νεότερη εργαλειοθήκη Brute Ratel μετά την εκμετάλλευση για να αποφύγουν τον εντοπισμό από λύσεις EDR και προστασίας από ιούς.
Οι εταιρικές ομάδες κυβερνοασφάλειας αποτελούνται συνήθως από υπαλλήλους που επιχειρούν να παραβιάσουν τα εταιρικά δίκτυα (κόκκινη ομάδα) και από αυτούς που αμύνονται ενεργά εναντίον τους (μπλε ομάδα). Στη συνέχεια, και οι δύο ομάδες μοιράζονται σημειώσεις μετά από δεσμεύσεις για την ενίσχυση της άμυνας στον κυβερνοχώρο ενός δικτύου.
Για χρόνια, ένα από τα πιο δημοφιλή εργαλεία στις δεσμεύσεις της κόκκινης ομάδας ήταν το Cobalt Strike, μια εργαλειοθήκη που επιτρέπει στους επιτιθέμενους να αναπτύξουν “beacons” σε παραβιασμένες συσκευές για να εκτελέσουν απομακρυσμένη επιτήρηση δικτύου ή να εκτελέσουν εντολές.
Οι χάκερ μεταβαίνουν στο Brute Ratel
Το 2020, ο Chetan Nayak, πρώην συνεργάτης του κόκκινου στο Mandiant και το CrowdStrike, κυκλοφόρησε το Brute Ratel Command and Control Center (BRc4) ως εναλλακτική λύση στο Cobalt Strike για δεσμεύσεις δοκιμών διείσδυσης της κόκκινης ομάδας.
Όπως το Cobalt Strike, το Brute Ratel είναι ένα εργαλείο προσομοίωσης επίθεσης αντιπάλου που επιτρέπει στους Red teamers να αναπτύξουν «Badgers» (παρόμοια με beacons στο Cobalt Strike) σε απομακρυσμένους οικοδεσπότες. Αυτοί οι ασβοί συνδέονται ξανά με τον διακομιστή εντολών και ελέγχου του εισβολέα για να λαμβάνουν εντολές για την εκτέλεση ή τη μετάδοση της εξόδου των εντολών που εκτελέστηκαν προηγουμένως.
Σε μια νέα έκθεση από το Palo Alto Unit 42, οι ερευνητές εντόπισαν παράγοντες απειλών που απομακρύνονται από το Cobalt Strike και χρησιμοποιούν το Brute Ratel ως το εργαλείο επιλογής μετά την εκμετάλλευση.
Αυτή η αλλαγή στην τακτική είναι σημαντική καθώς το BRc4 έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό από λύσεις EDR και antivirus, με σχεδόν όλο το λογισμικό ασφαλείας να μην το εντοπίζει ως κακόβουλο όταν εντοπίζεται για πρώτη φορά στη φύση.
“Αν και αυτή η ικανότητα κατάφερε να μείνει μακριά από τα φώτα της δημοσιότητας και παραμένει λιγότερο γνωστή από τους αδελφούς της Cobalt Strike, δεν είναι λιγότερο περίπλοκη”, εξηγεί η έκθεση της Μονάδας 42.
“Αντίθετα, αυτό το εργαλείο είναι μοναδικά επικίνδυνο καθώς σχεδιάστηκε ειδικά για να αποφεύγει την ανίχνευση με δυνατότητες εντοπισμού και απόκρισης τελικού σημείου (EDR) και προστασίας από ιούς (AV). VirusTotal.”
Σε επιθέσεις που υποπτεύονται ότι συνδέονται με τη ρωσική κρατική ομάδα hacking APT29 (γνωστή και ως CozyBear and Dukes), οι φορείς απειλών διανέμουν κακόβουλα ISO που φέρεται να περιέχουν ένα υποβληθέν βιογραφικό σημείωμα (CV).