Kép forrása: Bleepingcomputer.com
Feltörték, valamint orosz és angol nyelvű hackerközösségekben ingyenesen elérhetővé tették a Chetan Nayak – a Mandiant és a CrowdStrike volt vörös csapatának (Red Team) munkatársa – által létrehozott Brute Ratel C4 (BRC4) eszközkészletet.
A vörös csapat tagjai olyan kiberbiztonsági szakemberek, akiknek az a feladatuk, hogy megpróbáljanak betörni egy vállalat hálózatába, hogy megismerjék annak hibáit, míg a kék csapat (Blue Team) tagjai megpróbálnak védekezni ezek a támadások ellen.
A Cobalt Strike-hoz hasonlóan a Brute Ratel egy olyan eszközkészlet, amelyet a vörös csapat tagjai arra használnak, hogy a veszélyeztetett hálózati eszközökön agenteket, úgynevezett badgereket telepítsenek, és azok segítségével távolról parancsokat hajtsanak végre, hogy tovább tudjanak terjeszkedni a hálózaton.
Az elmúlt néhány évben a kiberbűnözők olyan gyakran használták a Cobalt Strike feltört változatait, hogy a biztonsági szoftverek egyre könnyebben észlelik már azokat, ezért néhányan áttértek a Brute Ratel használatára. Egyes információk szerint az is előfordult, hogy a kiberbűnözők hamis amerikai vállalatokat hoztak létre, hogy érvényes licenceket szerezzenek az eszközkészlethez. Most azonban arról számolt be Will Thomas (más néven BushidoToken) kiberbiztonsági kutató, hogy a Brute Ratel egy feltört példánya olyan online hackerfórumokon, mint a BreachForums, a CryptBB, a RAMP, az Exploit[.]in, Xss[.]is, valamint különböző Telegram és Discord csoportokban kering.
Chetan Nayak még egy korábbi nyilatkozatában elárulta, hogy képes visszavonni minden olyan ügyfél lincence-ét, akik rossz célokra használják a Brute Ratel-t. Az orosz kötődésű Molecules csoport, akik feltörték az eszközkészletet, eltávolították ezt a lincence-ellenőrzési funkciót, így viszont bárki szabadon használhatja a Brute Ratel-t. Thomas állítása szerint a feltört verzió rohamtempóban fog tovább terjedni, ugyanis legitimként működik és a biztonsági szoftvereknek nem könnyű észlelniük a szoftver által generált shellcode-ot.
Thomas azt ajánlja a biztonsági szakembereknek és rendszergazdáknak, hogy tekintsék át a Brute Ratel C4-el foglalkozó MdSec blogját annak érdekében, hogy többet tudjanak meg a szoftverek hálózatukon történő észleléséről.
