Недавно на VirusTotal был загружен образец, содержащий вредоносную полезную нагрузку, связанную с Brute Ratel C4 (BRc4), новейшим инструментом для моделирования атак в режиме "red-teaming" и "adversarial", появившимся на рынке.
Хотя BRc4 удалось остаться в стороне от внимания общественности и он менее известен, чем его собратья Cobalt Strike, он не менее сложен. Напротив, этот инструмент уникально опасен тем, что он был специально разработан для того, чтобы избежать обнаружения средствами обнаружения и реагирования конечных точек (EDR) и антивирусами (AV).
За последние 2,5 года этот инструмент превратился из неполного хобби в постоянный проект разработки с растущей клиентской базой. По мере расширения клиентской базы до сотен человек, инструмент привлек к себе повышенное внимание в сфере кибербезопасности как со стороны легальных тестеров на проникновение, так и со стороны злоумышленников.
Что касается C2, Palo Alto обнаружила, что образец обращается к IP-адресу Amazon Web Services (AWS), расположенному в США, через порт 443. Кроме того, сертификат X.509 на порту прослушивания был настроен на выдачу себя за Microsoft с названием организации "Microsoft" и организационным подразделением "Security".
Indicators of Compromise
IPv4
- 104.6.92.229
- 137.184.199.17
- 138.68.50.218
- 138.68.58.43
- 139.162.195.169
- 139.180.187.179
- 147.182.247.103
- 149.154.100.151
- 15.206.84.52
- 159.223.49.16
- 159.65.186.50
- 162.216.240.61
- 172.105.102.247
- 172.81.62.82
- 174.129.157.251
- 178.79.143.149
- 178.79.168.110
- 178.79.172.35
- 18.130.233.249
- 18.133.26.247
- 18.217.179.8
- 18.236.92.31
- 185.138.164.112
- 194.29.186.67
- 194.87.70.14
- 213.168.249.232
- 213.200.56.105
- 3.110.56.219
- 3.133.7.69
- 31.184.198.83
- 34.195.122.225
- 34.243.172.90
- 35.170.243.216
- 45.144.225.3
- 45.76.155.71
- 45.79.36.192
- 52.48.51.67
- 52.90.228.203
- 54.229.102.30
- 54.90.137.213
- 89.100.107.65
- 92.255.85.173
- 92.255.85.44
- 94.130.130.43
Domains
- ds.windowsupdate.eu.org
SHA1
- 55684a30a47476fce5b42cbd59add4b0fbc776a3
- 66aab897e33b3e4d940c51eba8d07f5605d5b275
SHA256
- 1fc7b0e1054d54ce8f1de0cc95976081c7a85c7926c03172a3ddaa672690042c
- 31acf37d180ab9afbcf6a4ec5d29c3e19c947641a2d9ce3ce56d71c1f576c069
- 3ad53495851bafc48caf6d2227a434ca2e0bef9ab3bd40abfe4ea8f318d37bbe
- 3ed21a4bfcf9838e06ad3058d13d5c28026c17dc996953a22a00f0609b0df3b9
- 5887c4646e032e015aa186c5970e8f07d3ed1de8dbfa298ba4522c89e547419b
- 973f573cab683636d9a70b8891263f59e2f02201ffb4dd2e9d7ecbb1521da03e
- b5d1d3c1aec2f2ef06e7d0b7996bc45df4744934bd66266a6ebb02d70e35236e
- d597d6572c5616573170275d0b5d5e3ab0c06d4a9104bbdbe952c4bcb52118c9
- d71dc7ba8523947e08c6eec43a726fe75aed248dfd3a7c4f6537224e9ed05f6f
- dd8652e2dcfe3f1a72631b3a9585736fbe77ffabee4098f6b3c48e1469bf27aa
- e1a9b35cf1378fda12310f0920c5c53ad461858b3cb575697ea125dfee829611
- ea2876e9175410b6f6719f80ee44b9553960758c7d0f7bed73c0fe9a78d8e669
- ef9b60aa0e4179c16a9ac441e0a21dc3a1c3dc04b100ee487eabf5c5b1f571a6
- f58ae9193802e9baf17e6b59e3fdbe3e9319c5d27726d60802e3e82d30d14d46