Sıkıştırma sonrası Brute Ratel araç seti çatlamış ve şimdi Rusça konuşan ve İngilizce konuşan hack topluluklarında ücretsiz olarak paylaşılıyor.
Brute Ratel C4'e (BRC4) aşina olmayanlar için, Mantiant ve Crowdstrike'de eski bir Red Teamer olan Chetan Nayak tarafından oluşturulan bir sömürü sonrası araç setidir.
Kırmızı ekipler, işi kusurlarını öğrenmek için kurumsal bir ağı ihlal etmeye çalışmak olan siber güvenlik uzmanlarıdır, mavi takımdakiler ise bu saldırılara karşı savunmaya çalışırlar.
Bu egzersizlerden sonra, her iki grup da savunmaları desteklediği ve güvenliği artırdığı tespit edildiğini tartışıyor.
Kobalt Strike'a benzer şekilde, Brute Ratel, Red Teamers tarafından Badgers adı verilen ajanları dağıtmak için kullanılan bir araç setidir, tehlikeye atılan ağ cihazlarında ve bunları komutları uzaktan yürütmek ve bir ağa daha fazla yaymak için kullanır.
Son birkaç yıldır, Cobalt Strike'ın çatlak versiyonları, tehdit aktörleri ve fidye yazılımı çeteleri tarafından o kadar ağır istismar edildi ki, güvenlik yazılımı tarafından daha kolay tespit edildi.
Bu nedenle, bazı tehdit aktörleri ve fidye yazılımı çeteleri, sahte ABD şirketlerini lisans doğrulama sistemini geçmek için yarattığı iddia edilen saldırıları için sessizce Brute Ratel'e geçiyor.
Bununla birlikte, siber tehdit istihbarat araştırmacısı Will Thomas (diğer aka Bushidotoken), Brute Ratel'in çatlak bir kopyasının çevrimiçi hack forumlarındaki tehdit aktörleri arasında geniş çapta dolaştığını bildirdiği için işler değişmek üzere.
Brute Ratel'in çatlak versiyonu hakkında yeni bir raporda Thomas, "Artık en kalabalık siber suç forumlarının birden fazla yayın var, burada veri brokerleri, kötü amaçlı yazılım geliştiricileri, ilk erişim brokerleri ve fidye yazılım iştirakleri takıldı."
"Bu, Breachforums, CryptBB, rampa, istismar [.] IN ve XSS [.] IS'nin yanı sıra çeşitli telgraf ve uyumsuzluk gruplarını içerir."
Hem XSS'de hem de ihlal edilen hack forumlarında kısa bir aramadan, tehdit aktörleri Eylül ortasından bu yana Brute Ratel C4 sürüm 1.2.2'nin çatlak versiyonunu paylaştıkları birden fazla konu oluşturdular.
Geçmişte, Brute Ratel geliştiricisi Chetan Nayak, BleepingComputer'a, Brute Ratel'i kötü niyetli amaçlarla kötüye kullanan herhangi bir müşterinin lisanslarını iptal edebileceğini söyledi.
Bununla birlikte, Nayak, çatlaksız versiyonun Virustotal'a yüklendiğini iddia ediyor ve daha sonra lisans kontrolünü kaldırmak için "Rus grup molekülleri" tarafından çatlatıldı.
Yazılımın nasıl sızdırıldığına bakılmaksızın, maalesef çok geç.
Thomas, BleepingComputer'a çatlak versiyonun çalıştığını ve kurcalanmadığını söyledi, yani kısa süre içinde araç setinin geniş kullanımını göreceğiz.
Thomas, "Evet, lisans anahtarına girmenize gerek yok ve hiçbir şey bana veya küratörlü Intel'deki meslektaşlarıma kurcalanmış görünmüyor."
Aslında, tehdit aktörleri zaten araç setini test eden forumları hackleme konusunda ekran görüntülerini paylaşmaya başladı.
Thomas ile en çok ilgili olan, Brute Ratel'in şu anda güvenlik yazılımı tarafından kolayca tespit edilmeyen kabuk kodu oluşturma yeteneğine sahip olmasıdır.
Thomas, "Birçok güvenlik uzmanı için BRC4 aracının en ilgili yönlerinden biri, birçok EDR ve AV ürünü tarafından tespit edilmeyen kabuk kodu oluşturma yeteneğidir."
Diyerek şöyle devam etti: "Bu genişletilmiş tespit kaçakçılığı penceresi, tehdit aktörlerine başlangıç erişimini kurmak, yanal harekete başlamak ve başka bir yerde kalıcılık elde etmek için yeterli zaman verebilir."
Thomas, ağlarındaki yazılımı algılama hakkında daha fazla bilgi edinmek için MDSEC'in Brute Ratel C4'teki blogunu incelemesini önerir.
Çinli hackerlar yeni Kobalt grev benzeri saldırı çerçevesi kullanıyor
Hacker, 219.000 Singapur müşterisinin çalınan Starbucks verilerini satıyor
Bumblebee kötü amaçlı yazılım, gizli enfeksiyonlar için sömürü sonrası aracı ekler
Ransomware Gang'ın Kobalt Strike Sunucuları Rusya karşıtı mesajlarla birlikte
CISA: Hackerlar onları kullandığında değil, kuantum bilgisayarlara hazırlanın
Kaynak: Bleeping Computer