BRUTED: a Black Basta automatizált brute force támadási keretrendszere

Az EclecticIQ elemzői egy eddig ismeretlen brute force támadási keretrendszert azonosítottak, amelyet a Black Basta RaaS csoport alkalmaz. A forráskód elemzése alapján a BRUTED alapvető feladata az automatizált internetes szkennelés és hitelesítő adatokkal végzett támadások végrehajtása, főképp a vállalati hálózatok peremhálózati eszközei, tűzfalai és VPN megoldásai ellen. A támadók célja, hogy adminisztrátori hozzáférést szerezzenek ezekhez a rendszerekhez, és teljes mértékben átvegyék felettük a felügyeletet.A támadások során a BRUTED egy komplex és jól szervezett támadási láncot követ, amely több lépésből áll. Az első fázis az internetes szkennelés, ahol a rendszer aktívan keres nyilvánosan elérhető szolgáltatásokat, például VPN-szervereket és távoli elérésű rendszereket.

A támadók az alábbi rendszereket veszik célba: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb és WatchGuard SSL VPN.

A második lépésben az azonosított célpontokat brute-force támadásokkal próbálják feltörni. Ehhez nagyszámú proxy szervert használnak a kérések elosztására, hogy elkerüljék az észlelést és a tiltásokat.

A BRUTED képes dinamikusan generálni jelszavakat a célrendszer SSL-tanúsítványaiból kinyert információk alapján, valamint ismert adatszivárgásokból és belső adatbázisokból származó hitelesítő adatokat is használ. A sikertelen bejelentkezési kísérletek számát és egyéb válaszidőket is elemzik, hogy kikerüljék a védelmi rendszereket.

Sikeres behatolás esetén az ellopott hitelesítő adatokat a támadók további hálózati mozgásokra és más rendszerek kompromittálására használják fel. Ezt követően zsarolóvírust telepítenek, amely titkosítja az adatok jelentős részét, majd váltságdíjat követelnek a dekódolási kulcsokért cserébe.

A támadásokhoz használt szerverek az Oroszországban regisztrált Proton66 hálózati szolgáltatónál (AS 198953) futottak. A támadók valószínűleg azért ezt a szolgáltatót választották, hogy elkerüljék a nyugati hatóságok figyelmét és minimalizálják a támadási infrastruktúra lelepleződésének esélyét.

Felfedezett indikátorok:

  • domain fuck-you-usa[.]com – SOCKS5 Proxy Network
  • 140.17[.]40 – BRUTED Framework Infrastructure
  • 140.17[.]24 – BRUTED Framework Infrastructure
  • 140.17[.]23 – BRUTED Framework Infrastructure
  • 57.149[.]22 – BRUTED Framework Infrastructure
  • 57.149[.]25 – BRUTED Framework Infrastructure
  • 57.149[.]231 – BRUTED Framework Infrastructure
  • 57.149[.]237 – BRUTED Framework Infrastructure
  • wordst7512[.]net – Cobalt Strike C2
  • dns[.]investsystemus[.]net – Cobalt Strike C2
  • septcntr[.]com – Cobalt Strike C2
  • dns[.]wellsystemte[.]net – Cobalt Strike C2
  • dns[.]realeinvestment[.]net – Cobalt Strike C2
  • bionetcloud[.]com – Cobalt Strike C2
  • dns[.]clearsystemwo[.]net – Cobalt Strike C2
  • dns[.]artstrailreviews[.]com – Cobalt Strike C2
  • getnationalresearch[.]com – Cobalt Strike C2
  • dns[.]gift4animals[.]com – Cobalt Strike C2
  • 155.249[.]55 – Brute Ratel C2

eclecticiq.com