Этот опасный хакерский инструмент теперь находится на свободе, и последствия могут быть огромными

Дядя Влад

Опасный инструментарий пост-эксплуатации, который сначала использовался в целях кибербезопасности, теперь был взломан и просочился в хакерские сообщества.

Инструментарий распространяется на многих различных веб-сайтах, и теперь, когда он может попасть в руки различных злоумышленников, потенциальные последствия могут быть огромными.

Логотип Brute Ratel.
Пищит Компьютер

Это может быть плохо. Рассматриваемый инструментарий постэксплуатации под названием Brute Ratel C4 изначально был создан Четаном Наяком. Наяк — бывший член красной команды, а это означает, что его работа включала в себя попытки нарушить безопасность данной сети, которую активно защищали члены синей команды. После этого обе команды обсуждают, как все прошло и есть ли какие-то недостатки в безопасности, которые нужно исправить.

Brute Ratel был создан именно для этой цели. Он был создан для использования «красными командами» с конечной целью — удаленно выполнять команды в скомпрометированной сети. Это упростит злоумышленнику доступ к остальной части сети.

Cobalt Strike рассматривается как инструмент, похожий на Brute Ratel, и этот инструмент активно используется бандами вымогателей, поэтому его довольно легко обнаружить. Brute Ratel до сих пор не был так широко распространен, и у него есть система проверки лицензии, которая в основном сдерживала хакеров . Nayak может отозвать лицензию любой компании, уличенной в подделке или неправильном использовании инструмента.

К сожалению, теперь это в прошлом, потому что стала распространяться взломанная версия инструмента. Сначала он был загружен на VirusTotal в невзломанном состоянии, но российская группа Molecules смогла взломать его и полностью снять с него требование лицензирования. Это означает, что теперь любой потенциальный хакер может получить его, если он знает, где искать.

Уилл Томас, исследователь информации о киберугрозах, опубликовал отчет о взломанной версии инструмента. Он уже распространился во многих англо- и русскоязычных сообществах, включая CryptBB, RAMP, BreachForums, Exploit[.]in, Xss[.]is, группы Telegram и Discord.

Человек, печатающий на клавиатуре компьютера.

«В настоящее время на нескольких самых популярных форумах по киберпреступности есть несколько сообщений, где тусуются брокеры данных, разработчики вредоносных программ, брокеры начального доступа и аффилированные лица программ-вымогателей», — сказал Томас в отчете. В разговоре с Bleeping Computer Томас сказал, что инструмент работает и больше не требует лицензионного ключа.

Томас объяснил потенциальные опасности этой технологии, сказав: «Одним из наиболее важных аспектов инструмента BRC4 для многих экспертов по безопасности является его способность генерировать шелл-код, который не обнаруживается многими продуктами EDR и AV. Это расширенное окно уклонения от обнаружения может дать злоумышленникам достаточно времени, чтобы установить первоначальный доступ, начать горизонтальное движение и добиться устойчивости в другом месте».

Знание того, что этот мощный инструмент находится в руках хакеров , которые никогда не должны были получить к нему доступ, определенно пугает. Будем надеяться, что разработчики антивирусного программного обеспечения смогут усилить защиту от Brute Ratel достаточно скоро.