Red-Teaming Tool wordt misbruikt door kwaadwillenden

Palo Alto Networks Unit 42 heeft een blogbericht uitgebracht over Brute Ratel C4. Dit is een raamwerk voor penetratietests en emulatie van tegenstanders dat speciaal is ontworpen om moderne cyberbeveiligingsmaatregelen te omzeilen. De meeste tot nu toe geïdentificeerde samples hebben minimale of geen detecties bij leveranciers op VirusTotal. 

De bijna niet-detecteerbare malware is waarschijnlijk gekoppeld aan het Russische Cosy Bear.

Palo Altp Networks meldt: "Wij zijn van mening dat dit onderzoek belangrijk is omdat het een mogelijkheid identificeert die grotendeels ondetecteerbaar is bij de meeste leveranciers van cyberbeveiliging met een groeiende gebruikersbasis die nu door APT's wordt gebruikt voor kwaadaardige doeleinden.

Unit 42 heeft zijn bevindingen bekendgemaakt aan betrouwbare partners bij de overheid en in het bedrijfsleven over de hele wereld om het bewustzijn te vergroten. Op deze manier kunnen zij pdeze opkomende dreiging identificeren en blokkeren. 

Belangrijke punten uit het onderzoek zijn:

Een kwaadaardige payload geassocieerd met Brute Ratel C4 (BRc4) werd geüpload naar VirusTotal op 19 mei 2022. Alle 56 leveranciers beoordeelden het als goedaardig. 

Unit 42 identificeerde 41 schadelijke IP-adressen geassocieerd met de C2, zes BRc4-monsters, en nog eens drie organisaties in Noord- en Zuid-Amerika die tot nu toe zijn getroffen door deze tool. 

Unit 42 gelooft dat deze tool een groeiend gebruikersbestand heeft dat gebruik door APT's omvat, waaronder TTP's die naar APT 29 wijzen. 

Dit unieke sample werd verpakt op een manier die overeenkomt met bekende APT 29-technieken en hun recente campagnes (bijvoorbeeld door een cv als lokmiddel te gebruiken) waarbij gebruik werd gemaakt van bekende toepassingen voor cloudopslag en online samenwerking."