Brute Ratel C4 (BRc4) IOCs

Недавно на VirusTotal был загружен образец, содержащий вредоносную полезную нагрузку, связанную с Brute Ratel C4 (BRc4), новейшим инструментом для моделирования атак в режиме "red-teaming" и "adversarial", появившимся на рынке.

Хотя BRc4 удалось остаться в стороне от внимания общественности и он менее известен, чем его собратья Cobalt Strike, он не менее сложен. Напротив, этот инструмент уникально опасен тем, что он был специально разработан для того, чтобы избежать обнаружения средствами обнаружения и реагирования конечных точек (EDR) и антивирусами (AV).

За последние 2,5 года этот инструмент превратился из неполного хобби в постоянный проект разработки с растущей клиентской базой. По мере расширения клиентской базы до сотен человек, инструмент привлек к себе повышенное внимание в сфере кибербезопасности как со стороны легальных тестеров на проникновение, так и со стороны злоумышленников.

Что касается C2, Palo Alto обнаружила, что образец обращается к IP-адресу Amazon Web Services (AWS), расположенному в США, через порт 443. Кроме того, сертификат X.509 на порту прослушивания был настроен на выдачу себя за Microsoft с названием организации "Microsoft" и организационным подразделением "Security".

Indicators of Compromise

IPv4

  • 104.6.92.229
  • 137.184.199.17
  • 138.68.50.218
  • 138.68.58.43
  • 139.162.195.169
  • 139.180.187.179
  • 147.182.247.103
  • 149.154.100.151
  • 15.206.84.52
  • 159.223.49.16
  • 159.65.186.50
  • 162.216.240.61
  • 172.105.102.247
  • 172.81.62.82
  • 174.129.157.251
  • 178.79.143.149
  • 178.79.168.110
  • 178.79.172.35
  • 18.130.233.249
  • 18.133.26.247
  • 18.217.179.8
  • 18.236.92.31
  • 185.138.164.112
  • 194.29.186.67
  • 194.87.70.14
  • 213.168.249.232
  • 213.200.56.105
  • 3.110.56.219
  • 3.133.7.69
  • 31.184.198.83
  • 34.195.122.225
  • 34.243.172.90
  • 35.170.243.216
  • 45.144.225.3
  • 45.76.155.71
  • 45.79.36.192
  • 52.48.51.67
  • 52.90.228.203
  • 54.229.102.30
  • 54.90.137.213
  • 89.100.107.65
  • 92.255.85.173
  • 92.255.85.44
  • 94.130.130.43

Domains

  • ds.windowsupdate.eu.org

SHA1

  • 55684a30a47476fce5b42cbd59add4b0fbc776a3
  • 66aab897e33b3e4d940c51eba8d07f5605d5b275

SHA256

  • 1fc7b0e1054d54ce8f1de0cc95976081c7a85c7926c03172a3ddaa672690042c
  • 31acf37d180ab9afbcf6a4ec5d29c3e19c947641a2d9ce3ce56d71c1f576c069
  • 3ad53495851bafc48caf6d2227a434ca2e0bef9ab3bd40abfe4ea8f318d37bbe
  • 3ed21a4bfcf9838e06ad3058d13d5c28026c17dc996953a22a00f0609b0df3b9
  • 5887c4646e032e015aa186c5970e8f07d3ed1de8dbfa298ba4522c89e547419b
  • 973f573cab683636d9a70b8891263f59e2f02201ffb4dd2e9d7ecbb1521da03e
  • b5d1d3c1aec2f2ef06e7d0b7996bc45df4744934bd66266a6ebb02d70e35236e
  • d597d6572c5616573170275d0b5d5e3ab0c06d4a9104bbdbe952c4bcb52118c9
  • d71dc7ba8523947e08c6eec43a726fe75aed248dfd3a7c4f6537224e9ed05f6f
  • dd8652e2dcfe3f1a72631b3a9585736fbe77ffabee4098f6b3c48e1469bf27aa
  • e1a9b35cf1378fda12310f0920c5c53ad461858b3cb575697ea125dfee829611
  • ea2876e9175410b6f6719f80ee44b9553960758c7d0f7bed73c0fe9a78d8e669
  • ef9b60aa0e4179c16a9ac441e0a21dc3a1c3dc04b100ee487eabf5c5b1f571a6
  • f58ae9193802e9baf17e6b59e3fdbe3e9319c5d27726d60802e3e82d30d14d46
SEC-1275-1
Добавить комментарий