Aktor jahat telah diamati menyalahgunakan perangkat lunak simulasi musuh yang sah dalam serangan mereka dalam upaya untuk tetap berada di bawah radar dan menghindari deteksi.
Palo Alto Networks Unit 42 mengatakan sampel malware yang diunggah ke database VirusTotal pada 19 Mei 2022, berisi muatan yang terkait dengan Brute Ratel C4, toolkit canggih yang relatif baru “yang dirancang untuk menghindari deteksi oleh endpoint detection and response (EDR) dan antivirus ( kemampuan AV).
Ditulis oleh seorang peneliti keamanan India bernama Chetan Nayak, Brute Ratel (BRc4) analog dengan Cobalt Strike dan digambarkan sebagai “pusat komando dan kontrol yang disesuaikan untuk tim merah dan simulasi musuh.”
Perangkat lunak komersial pertama kali dirilis pada akhir 2020 dan sejak itu telah memperoleh lebih dari 480 lisensi di 350 pelanggan. Setiap lisensi ditawarkan dengan harga $2.500 per pengguna selama satu tahun, setelah itu dapat diperpanjang untuk durasi yang sama dengan biaya $2.250.
BRc4 dilengkapi dengan berbagai fitur, seperti injeksi proses, mengotomatiskan TTP musuh, menangkap tangkapan layar, mengunggah dan mengunduh file, dukungan untuk beberapa saluran perintah-dan-kontrol, dan kemampuan untuk menyembunyikan artefak memori dari mesin anti-malware , diantara yang lain.
Artefak, yang diunggah dari Sri Lanka, menyamar sebagai riwayat hidup seseorang bernama Roshan Bandara (“Roshan_CV.iso”) tetapi pada kenyataannya adalah file gambar cakram optik yang, ketika diklik dua kali, memasangnya sebagai drive Windows berisi dokumen Word yang tampaknya tidak berbahaya yang, saat diluncurkan, menginstal BRc4 pada mesin pengguna dan menjalin komunikasi dengan server jarak jauh.
Pengiriman file ISO paket biasanya dikirim melalui kampanye email spear-phishing, meskipun tidak jelas apakah metode yang sama digunakan untuk mengirimkan muatan ke lingkungan target.
“Komposisi file ISO, Roshan_CV.ISO, sangat mirip dengan tradecraft APT negara-bangsa lainnya,” kata peneliti Unit 42 Mike Harbison dan Peter Renals, menyebut kesamaan dengan file ISO paket yang sebelumnya dikaitkan dengan negara Rusia- aktor negara APT29 (alias Cozy Bear, The Dukes, atau Iron Hemlock).
APT29 menjadi terkenal tahun lalu setelah kelompok yang disponsori negara disalahkan karena mengatur serangan rantai pasokan SolarWinds skala besar.
Perusahaan keamanan siber mencatat bahwa mereka juga melihat sampel kedua yang diunggah ke VirusTotal dari Ukraina sehari kemudian dan menunjukkan kode yang tumpang tindih dengan modul yang bertanggung jawab untuk memuat BRc4 dalam memori. Investigasi telah menemukan tujuh sampel BRc4 lagi yang berasal dari Februari 2021.
Dengan memeriksa server C2 yang digunakan sebagai saluran rahasia, sejumlah calon korban telah diidentifikasi. Ini termasuk organisasi Argentina, penyedia televisi IP yang menyediakan konten Amerika Utara dan Selatan, dan produsen tekstil besar di Meksiko.
“Munculnya pengujian penetrasi baru dan kemampuan emulasi musuh adalah signifikan,” kata para peneliti. “Namun yang lebih mengkhawatirkan adalah efektivitas BRc4 dalam mengalahkan kemampuan deteksi EDR dan AV defensif modern.”
Tak lama setelah temuan itu dipublikasikan, Nayak tweeted bahwa “tindakan yang tepat telah diambil terhadap lisensi yang ditemukan yang dijual di pasar gelap,” menambahkan BRc4 v1.1 “akan mengubah setiap aspek IoC yang ditemukan di rilis sebelumnya.”