Az EclecticIQ elemzői egy eddig ismeretlen brute force támadási keretrendszert azonosítottak, amelyet a Black Basta RaaS csoport alkalmaz. A forráskód elemzése alapján a BRUTED alapvető feladata az automatizált internetes szkennelés és hitelesítő adatokkal végzett támadások végrehajtása, főképp a vállalati hálózatok peremhálózati eszközei, tűzfalai és VPN megoldásai ellen. A támadók célja, hogy adminisztrátori hozzáférést szerezzenek ezekhez a rendszerekhez, és teljes mértékben átvegyék felettük a felügyeletet.A támadások során a BRUTED egy komplex és jól szervezett támadási láncot követ, amely több lépésből áll. Az első fázis az internetes szkennelés, ahol a rendszer aktívan keres nyilvánosan elérhető szolgáltatásokat, például VPN-szervereket és távoli elérésű rendszereket.
A támadók az alábbi rendszereket veszik célba: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb és WatchGuard SSL VPN.
A második lépésben az azonosított célpontokat brute-force támadásokkal próbálják feltörni. Ehhez nagyszámú proxy szervert használnak a kérések elosztására, hogy elkerüljék az észlelést és a tiltásokat.
A BRUTED képes dinamikusan generálni jelszavakat a célrendszer SSL-tanúsítványaiból kinyert információk alapján, valamint ismert adatszivárgásokból és belső adatbázisokból származó hitelesítő adatokat is használ. A sikertelen bejelentkezési kísérletek számát és egyéb válaszidőket is elemzik, hogy kikerüljék a védelmi rendszereket.
Sikeres behatolás esetén az ellopott hitelesítő adatokat a támadók további hálózati mozgásokra és más rendszerek kompromittálására használják fel. Ezt követően zsarolóvírust telepítenek, amely titkosítja az adatok jelentős részét, majd váltságdíjat követelnek a dekódolási kulcsokért cserébe.
A támadásokhoz használt szerverek az Oroszországban regisztrált Proton66 hálózati szolgáltatónál (AS 198953) futottak. A támadók valószínűleg azért ezt a szolgáltatót választották, hogy elkerüljék a nyugati hatóságok figyelmét és minimalizálják a támadási infrastruktúra lelepleződésének esélyét.
Felfedezett indikátorok:
- domain fuck-you-usa[.]com – SOCKS5 Proxy Network
- 140.17[.]40 – BRUTED Framework Infrastructure
- 140.17[.]24 – BRUTED Framework Infrastructure
- 140.17[.]23 – BRUTED Framework Infrastructure
- 57.149[.]22 – BRUTED Framework Infrastructure
- 57.149[.]25 – BRUTED Framework Infrastructure
- 57.149[.]231 – BRUTED Framework Infrastructure
- 57.149[.]237 – BRUTED Framework Infrastructure
- wordst7512[.]net – Cobalt Strike C2
- dns[.]investsystemus[.]net – Cobalt Strike C2
- septcntr[.]com – Cobalt Strike C2
- dns[.]wellsystemte[.]net – Cobalt Strike C2
- dns[.]realeinvestment[.]net – Cobalt Strike C2
- bionetcloud[.]com – Cobalt Strike C2
- dns[.]clearsystemwo[.]net – Cobalt Strike C2
- dns[.]artstrailreviews[.]com – Cobalt Strike C2
- getnationalresearch[.]com – Cobalt Strike C2
- dns[.]gift4animals[.]com – Cobalt Strike C2
- 155.249[.]55 – Brute Ratel C2
