黑客滥用BRc4红队渗透工具进行攻击以逃避检测

观察到恶意行为者在其攻击中滥用合法的对手模拟软件，试图隐藏在雷达之下并逃避检测。

Palo Alto Networks第42单元表示，2022年5月19日上传到VirusTotal数据库的恶意软件样本包含与Brute Ratel C4相关的有效载荷，这是一个相对较新的复杂工具包，“旨在避免通过端点检测和响应（EDR）和防病毒（AV）功能进行检测”。

Brute Ratel（BRc4）由一位名叫Chetan Nayak的印度安全研究人员编写，类似于Cobalt Strike，被描述为“红队和对手模拟的定制指挥和控制中心”

该商业软件于2020年末首次发布，至今已获得350个客户的480多个许可证。每个许可证的有效期为一年，每个用户2500美元，之后可以续期，续期费用为2250美元。

BRc4具有多种功能，例如进程注入、自动化对手TTP、捕获屏幕截图、上传和下载文件、支持多个命令和控制通道，以及对反恶意软件引擎隐藏内存工件的能力等。

就像Cobalt Strike一样，Brute Ratel还可以在受损主机上部署“獾”（&agrave，la信标），使攻击者控制器服务器能够接收下一阶段的命令或过滤数据。

这件作品是从斯里兰卡上传的，伪装成一个名叫Roshan Bandara（“Roshan CV.iso”）的个人简历，但实际上是一个光盘图像文件，双击后，将其安装为一个Windows驱动器，其中包含一个看似无害的Word文档，该文档在启动时会在用户的机器上安装BRc4，并与远程服务器建立通信。

“ISO文件Roshan_CV.ISO的组成与其他民族国家APT tradecraft的组成非常相似，”42单元研究人员Mike Harbison和Peter Renals说，并指出了与之前由俄罗斯民族国家演员APT29（又名Cozy Bear、Dukes或Iron Hemlock）制作的打包ISO文件的相似之处。

去年，国家赞助的APT29组织被指责策划了大规模的太阳风供应链袭击，随后该组织声名狼藉。

这家网络安全公司指出，它还发现了第二个样本，该样本一天后从乌克兰上传到VirusTotal，显示代码与负责在内存中加载BRc4的模块的代码重叠。此后，调查又发现了七个BRc4样本，可追溯到2021年 2月。

研究人员说：“新的渗透测试和对手仿真能力的出现意义重大”。“更令人担忧的是BRc4在击败现代防御EDR和AV检测能力方面的有效性”。

调查结果公布后不久，纳亚克在推特上表示“已对在黑市上出售的许可证采取适当行动”，并补充说BRc4 v1.1“将改变以前版本中发现的IoC的各个方面”。