Brute Ratel istismar sonrası araç seti kırıldı ve şimdi Rusça ve İngilizce konuşan hack topluluklarında ücretsiz olarak paylaşılıyor.
bilmeyenler için kaba oran c4 (BRC4), Mandiant ve CrowdStrike’ta eski bir kırmızı ekip üyesi olan Chetan Nayak tarafından oluşturulan bir sömürü sonrası araç takımıdır.
Kırmızı ekip çalışanları, işi bir şirket ağını ihlal ederek kusurlarını öğrenmek olan siber güvenlik uzmanlarıdır, mavi ekiptekiler ise bu saldırılara karşı savunmaya çalışır.
Bu tatbikatlardan sonra, her iki grup da savunmaları güçlendiren ve güvenliği artıran nelerin bulunduğunu tartışır.
Cobalt Strike’a benzer şekilde Brute Ratel, kırmızı ekip üyeleri tarafından, porsuk adı verilen aracıları güvenliği ihlal edilmiş ağ cihazlarına yerleştirmek ve bunları uzaktan komutları yürütmek ve bir ağ üzerinde daha fazla yayılmak için kullanmak için kullanılan bir araç takımıdır.
Brute Ratel kırıldı
Son birkaç yılda, crackli versiyonlar Kobalt Strike çok ağır bir şekilde suistimal edildi tehdit aktörleri ve fidye yazılımı çeteleri tarafından güvenlik yazılımları tarafından daha kolay tespit edilir.
Bu nedenle, bazı tehdit aktörleri ve fidye yazılımı çeteleri sessizce Brute Ratel’e geçiş Lisans doğrulama sisteminden geçmek için sahte ABD şirketleri oluşturduğu iddiasıyla saldırılarından dolayı.
Ancak, siber tehdit istihbaratı araştırmacısı Will Thomas (aka Bushido Simgesi), Brute Ratel’in kırılmış bir kopyasının artık çevrimiçi bilgisayar korsanlığı forumlarındaki tehdit aktörleri arasında geniş çapta dolaştığını bildirdi.
Thomas, “Artık veri komisyoncularının, kötü amaçlı yazılım geliştiricilerin, ilk erişim komisyoncularının ve fidye yazılımı iştiraklerinin takıldığı en kalabalık siber suç forumlarının çoğunda birden fazla gönderi var” diye uyarıyor Thomas. yeni rapor Brute Ratel’in crackli versiyonunda.
“Bu, BreachForums, CryptBB, RAMP, Exploit’i içerir.[.]içinde ve Xss[.]çeşitli Telegram ve Discord gruplarının yanı sıra.”
Hem XSS hem de İhlal Edilen bilgisayar korsanlığı forumlarında yapılan kısa bir aramadan, tehdit aktörleri, Eylül ortasından bu yana Brute Ratel C4 sürüm 1.2.2’nin kırık sürümünü paylaştıkları birden fazla konu oluşturdu.
Geçmişte, Brute Ratel geliştiricisi Chetan Nayak, BleepingComputer’a Brute Ratel’i kötü amaçlarla kötüye kullanan tüm müşterilerin lisanslarını iptal edebileceğini söyledi.
Ancak Nayak, kırılmamış versiyonun VirusTotal’a yüklendiğini ve daha sonra lisans kontrolünü kaldırmak için “Rus grup Molekülleri” tarafından kırıldığını iddia ediyor.
Yazılımın nasıl sızdırıldığına bakılmaksızın, ne yazık ki çok geç.
Thomas, BleepingComputer’a kırık versiyonun çalıştığını ve kurcalanmış gibi görünmediğini söyledi, bu da kısa bir süre sonra araç setinin geniş bir şekilde kullanıldığını göreceğimiz anlamına geliyor.
Thomas, BleepingComputer ile yaptığı bir konuşmada “Evet, lisans anahtarını girmenize gerek yok ve hayır bana veya Curated Intel’deki meslektaşlarıma kurcalanmış görünmüyor” dedi.
Aslında, tehdit aktörleri, araç setini test ettikleri bilgisayar korsanlığı forumlarında ekran görüntülerini paylaşmaya başladı bile.
Thomas’ı en çok ilgilendiren şey, Brute Ratel’in şu anda güvenlik yazılımı tarafından kolayca algılanamayan kabuk kodu oluşturma yeteneğine sahip olmasıdır.
Thomas raporunda, “Birçok güvenlik uzmanı için BRC4 aracının en ilgili yönlerinden biri, birçok EDR ve AV ürünü tarafından algılanmayan kabuk kodu oluşturma yeteneğidir” dedi.
“Bu genişletilmiş tespit kaçırma penceresi, tehdit aktörlerine ilk erişim sağlamak, yanal harekete başlamak ve başka bir yerde kalıcılık sağlamak için yeterli zaman verebilir.”
Thomas, güvenlik, pencereler ve ağ yöneticilerinin incelemesini önerir MdSec’in Brute Ratel C4 hakkındaki blogu ağlarında yazılımı algılama hakkında daha fazla bilgi edinmek için.