L’échantillon contenait une charge malveillante associée à Brute Ratel C4 (BRc4), le tout dernier outil red team de simulation d’attaques par exemples contradictoires à avoir fait son apparition sur le marché. Bien que cet outil ait réussi à rester discret et soit moins connu que ses homologues de Cobalt Strike, il n’en est pas moins sophistiqué.Il s’avère particulièrement dangereux, car il a été spécialement conçu pour éviter d’être repéré par les systèmes de détection et de réponse (EDR) et les antivirus. Le fait qu’aucun des différents fournisseurs sur VirusTotal n’ait réussi à le détecter témoigne clairement de son efficacité.

En ce qui concerne le C2, l’Unit 42 a constaté que l’échantillon appelait une adresse IP d’Amazon Web Services (AWS) située aux États-Unis, via le port 443. En outre, le certificat X.509 sur le port d’écoute avait été configuré de façon à usurper l’identité de Microsoft avec le nom d’organisation « Microsoft » et l’unité organisationnelle « Security ». En se basant sur le certificat et d’autres artefacts, les experts de l’Unit 42 ont identifié un total de 41 adresses IP malveillantes, neuf échantillons BRc4 et trois autres organisations en Amérique du Nord et du Sud qui avaient été impactées à ce jour par cet outil.

Cet échantillon inédit a été conditionné d’une manière cohérente avec les techniques connues du groupe de menaces APT29 et de ses récentes campagnes, qui exploitent des applications répandues de stockage sur le cloud et de collaboration en ligne. Plus précisément, cet échantillon était conditionné sous la forme d’une image ISO autonome. L’image ISO contenait un raccourci Windows (LNK), une DLL contenant une charge malveillante et une copie légitime de Microsoft OneDrive Updater. Les tentatives d’exécution de l’application inoffensive à partir du dossier monté sur l’ISO entraînaient le chargement de la charge malveillante, sous la forme d’une dépendance, selon une technique connue sous le nom de détournement de l’ordre de recherche de la DLL. Cependant, si les techniques de conditionnement ne suffisent pas à elles seules à attribuer définitivement cet échantillon au groupe APT29, elles démontrent que les utilisateurs de l’outil appliquent désormais des techniques d’espionnage d’État pour déployer BRc4.

L’Unit 42 souhaite partager cette analyse importante avec tous les acteurs de l’écosystème cybersécurité, car elle identifie non seulement un nouvel outil de red-teaming qui reste largement indétectable par la plupart des fournisseurs de cybersécurité, mais qui possède surtout une base croissante d’utilisateurs qui, selon l’Unit 42, exploite désormais des techniques de déploiement imputables à des États. L’analyse de l’Unit 42 présente une vue d’ensemble de BRc4, une analyse détaillée de l’échantillon malveillant, une comparaison entre le conditionnement de cet échantillon et d’un échantillon récent du groupe APT29, ainsi qu’une liste d’indicateurs de compromission (IoC) utilisables pour traquer cette activité.

L’Unit 42 encourage tous les fournisseurs de sécurité à mettre en place des dispositifs de protection pour détecter l’activité de cet outil et toutes les organisations à se mettre en état d’alerte.

Les clients de Palo Alto Networks bénéficient de protections contre les menaces décrites dans cette analyse grâce à l’analyse des logiciels malveillants fournis par Cortex XDR et WildFire.

Une visualisation complète des techniques observées, les plans d’action pertinents et les indicateurs de compromission (IoC) liés à ce rapport sont mis à disposition dans le visualiseur ATOM d’Unit 42.

Retrouvez l’intégralité de cette analyse Unit 42 ici.

Présentation rapide de Brute Ratel C4

Brute Ratel C4 a fait ses débuts en tant qu’outil de test d’intrusion en décembre 2020. À l’époque, c’est un ingénieur en sécurité, Chetan Nayak (alias Paranoid Ninja) résidant en Inde qui gérait son développement à temps partiel. D’après son site Web (Dark Vortex), Chetan Nayak avait acquis plusieurs années d’expérience dans des rôles senior au sein d’une équipe rouge (red-team) chez des fournisseurs occidentaux de cybersécurité. Tout récemment, pendant deux ans et demi, il a apporté des améliorations progressives aux fonctionnalités et aux capacités de l’outil, ainsi qu’au support et à la formation proposés avec ce dernier.

En janvier 2022, Chetan Nayak a quitté son poste afin de se consacrer à plein temps à des workshops de développement et de formation. Le même mois, il publiait Brute Ratel v0.9.0 (Checkmate), décrite comme « la version la plus importante de Brute Ratel à ce jour ».

Cependant, chose bien plus inquiétante, la description indiquait spécifiquement que « cette version avait été créée après avoir effectué une rétro-ingénierie de plusieurs DLL de systèmes d’’EDR et d’antivirus de premier plan ».

L’analyse de l’Unit 42 met en évidence le débat, pertinent et continu dans le secteur de la cybersécurité, sur l’éthique liée au développement et à l’utilisation d’outils de test d’intrusion susceptibles d’être exploités à des fins offensives.

BRc4 se présente actuellement comme « un centre de commande et de contrôle personnalisé pour la simulation des red teams et d’attaques par exemples contradictoires ». Le 16 mai, Nayak a annoncé que l’outil avait acquis 480 utilisateurs parmi ses 350 clients.

La dernière version, Brute Ratel v1.0 (Sicilian Defense), a été publiée un jour plus tard, le 17 mai, et est actuellement proposée à la vente au prix de 2 500 dollars par utilisateur et de 2 250 dollars par renouvellement. À un tel prix et avec cette base de clients, BRc4 à toutes les chances de réaliser un chiffre d’affaires de plus d’un million de dollars l’an prochain.

En termes de fonctionnalités, BRc4 annonce les capacités suivantes :

Les charges SMB et TCP offrent une fonctionnalité permettant d’écrire des canaux C2 externes personnalisés sur des sites Web légitimes tels que Slack, Discord, Microsoft Teams, etc.
Débogueur intégré permettant de détecter les hooks userland des systèmes EDR.
Capacité à rendre les artefacts de mémoire non visibles des systèmes EDR et des antivirus.
Appels directs instantanés à Windows SYS.
Sortie via HTTP, HTTPS, DNS Over HTTPS, SMB et TCP.
LDAP Sentinel fournit une interface graphique riche permettant d’interroger diverses requêtes LDAP envoyées au domaine ou à une forêt.
Nombreux canaux de commande et de contrôle et nombreuses options de pivot telles que SMB, TCP, WMI, WinRM, et gestion de services distants via RPC.
Prise de captures d’écran.
Chargeur de shellcode x64.
Chargeur par réflexion et chargeur de fichier objet.
Décodage de ticket KRB5 et conversion en hashcat.
Correction d’Event Tracing for Windows (ETW)
Correction d’Anti Malware Scan Interface (AMSI).
Création de services système Windows.
Chargement et téléchargement de fichiers.
Création de fichiers via CreateFileTransacted.
Analyse de port.