Es wurde beobachtet, dass böswillige Akteure legitime gegnerische Simulationssoftware für ihre Angriffe missbrauchen, um unter dem Radar zu bleiben und der Entdeckung zu entgehen.
Laut Palo Alto Networks Unit 42 enthielt ein Malware-Sample, das am 19. Mai 2022 in die VirusTotal-Datenbank hochgeladen wurde, eine Nutzlast, die mit Brute Ratel C4 verbunden war, einem relativ neuen, ausgeklügelten Toolkit, „das entwickelt wurde, um die Erkennung durch Endpoint Detection and Response (EDR) und Antivirenfunktionen (AV) zu umgehen.
Brute Ratel (BRc4) wurde von einem indischen Sicherheitsforscher namens Chetan Nayak entwickelt und ist mit Cobalt Strike vergleichbar und wird als „maßgeschneiderte Kommandozentrale für Red Team- und Gegner-Simulationen“ beschrieben.
Die kommerzielle Software wurde erstmals Ende 2020 veröffentlicht und hat seitdem über 480 Lizenzen bei 350 Kunden erhalten. Jede Lizenz wird für ein Jahr zu einem Preis von 2.500 US-Dollar pro Nutzer angeboten und kann danach zum Preis von 2.250 US-Dollar um die gleiche Dauer verlängert werden.
BRc4 ist mit einer Vielzahl von Funktionen ausgestattet, wie z. B. Prozessinjektion, Automatisierung gegnerischer TTPs, Erfassen von Screenshots, Hoch- und Herunterladen von Dateien, Unterstützung für mehrere Befehls- und Kontrollkanäle und die Fähigkeit, Speicherartefakte vor Anti-Malware-Engines zu verbergen, um nur einige zu nennen.
Das aus Sri Lanka hochgeladene Artefakt tarnt sich als Lebenslauf einer Person namens Roshan Bandara („Roshan_CV.iso“), ist aber in Wirklichkeit eine Image-Datei auf einem optischen Datenträger, die bei einem Doppelklick als Windows-Laufwerk mit einem scheinbar harmlosen Word-Dokument gemountet wird, das nach dem Start BRc4 auf dem Rechner des Benutzers installiert und die Kommunikation mit einem Remote-Server aufbaut.
Die verpackten ISO-Dateien werden in der Regel über Spear-Phishing-E-Mail-Kampagnen verschickt, obwohl nicht klar ist, ob die gleiche Methode verwendet wurde, um die Nutzlast in die Zielumgebung zu bringen.
„Die Zusammensetzung der ISO-Datei Roshan_CV.ISO ähnelt der anderer APT-Methoden von Nationalstaaten“, so die Unit 42-Forscher Mike Harbison und Peter Renals, die auf Ähnlichkeiten mit einer ISO-Datei hinweisen, die zuvor dem russischen Nationalstaat APT29 (auch bekannt als Cozy Bear, The Dukes oder Iron Hemlock) zugeschrieben wurde.
APT29 wurde letztes Jahr bekannt, als die staatlich unterstützte Gruppe für den groß angelegten Angriff auf die Lieferkette von SolarWinds verantwortlich gemacht wurde.
Das Cybersecurity-Unternehmen stellte fest, dass einen Tag später ein zweites Sample aus der Ukraine auf VirusTotal hochgeladen wurde, das Codeüberschneidungen mit einem Modul aufwies, das für das Laden von BRc4 in den Speicher verantwortlich ist. Die Untersuchung hat inzwischen sieben weitere BRc4-Samples aus dem Februar 2021 zutage gefördert.
Das ist aber noch nicht alles. Durch die Untersuchung des C2-Servers, der als verdeckter Kanal genutzt wurde, konnte eine Reihe von potenziellen Opfern identifiziert werden. Dazu gehören eine argentinische Organisation, ein IP-TV-Anbieter, der nord- und südamerikanische Inhalte anbietet, und ein großer Textilhersteller in Mexiko.
„Das Auftauchen einer neuen Möglichkeit für Penetrationstests und die Emulation von Gegnern ist bedeutsam“, so die Forscher. „Noch beunruhigender ist jedoch die Effektivität von BRc4 bei der Überwindung moderner defensiver EDR- und AV-Erkennungsfunktionen.
Kurz nach Bekanntwerden der Ergebnisse twitterte Nayak, dass „angemessene Maßnahmen gegen die gefundenen Lizenzen, die auf dem Schwarzmarkt verkauft wurden, ergriffen wurden“ und fügte hinzu, dass BRc4 v1.1 „jeden Aspekt des IoC, der in den vorherigen Versionen gefunden wurde, verändern wird“.