La herramienta de Red-Teaming es quebrantada por agentes maliciosos

Por Mike Harbison, Pete Renals

Unit 42 está continuamente buscando muestras nuevas y únicas de malware que coincidan con patrones y tácticas conocidas de amenazas persistentes avanzadas (APT). El 19 de mayo, una de estas muestras se subió a VirusTotal, donde recibió un veredicto favorable de los 56 proveedores que la evaluaron. Más allá de las preocupaciones obvias de detección, creemos que esta muestra también es significativa en términos de su carga útil maliciosa, comando y control (C2), y el embalaje.

La muestra contenía una carga maliciosa asociada a Brute Ratel C4 (BRc4), la herramienta más reciente de simulación de ataques adversos y de red-teaming que ha llegado al mercado. Si bien esta capacidad ha logrado mantenerse fuera de los focos y sigue siendo menos conocida que sus hermanos de Cobalt Strike, no es menos sofisticada. Por el contrario, esta herramienta es especialmente peligrosa, ya que fue diseñada específicamente para evitar la detección por parte de las capacidades de detección y respuesta de endpoints (EDR) y antivirus (AV). Su eficacia en este sentido puede comprobarse por la mencionada falta de detección por parte de los proveedores en VirusTotal.

Respecto al C2, descubrimos que la muestra llamaba a una dirección IP de Amazon Web Services (AWS) situada en Estados Unidos a través del puerto 443. Además, el certificado X.509 en el puerto de escucha estaba configurado para suplantar a Microsoft con un nombre de organización de «Microsoft» y una unidad de organización de «Seguridad». Además, basándonos en el certificado y otros artefactos, identificamos un total de 41 direcciones IP maliciosas, nueve muestras de BRc4 y otras tres organizaciones en Norteamérica y Sudamérica que han sido afectadas por esta herramienta hasta ahora.

Esta única muestra se empaquetó de forma coherente con las técnicas conocidas de APT29 y sus recientes campañas, que aprovecharon conocidas aplicaciones de almacenamiento en la nube y de colaboración online. En concreto, la muestra se empaquetó como una ISO autocontenida. La ISO incluía un archivo de acceso directo a Windows (LNK), una DLL de carga útil maliciosa y una copia legítima de Microsoft OneDrive Updater. Los intentos de ejecutar la aplicación benigna desde la carpeta cargada en la ISO dieron como resultado la carga de la carga útil maliciosa a través de una técnica conocida como conocido como secuestro de orden de búsqueda de DLL. Sin embargo, aunque las técnicas de empaquetado por sí solas no son suficientes para atribuir definitivamente esta muestra a APT29, estas técnicas demuestran que los usuarios de la herramienta están aplicando ahora la técnica del estado-nación para desplegar BRc4.

En general, creemos que la investigación es significativa, ya que identifica no sólo una nueva capacidad de red team que es en gran medida indetectable por la mayoría de los proveedores de ciberseguridad, sino, lo que es más importante, una capacidad con una base de usuarios cada vez mayor que evaluamos que está aprovechando las técnicas de despliegue del estado-nación actualmente. Este blog ofrece una visión general de BRc4, un análisis detallado de la muestra maliciosa, una comparación entre el empaquetado de esta muestra y una muestra reciente de APT29, y una lista de indicadores de compromiso (IoC) que pueden utilizarse para cazar esta actividad.

Animamos a todos los proveedores de seguridad a crear protecciones para detectar la actividad de esta herramienta y a todas las organizaciones a estar alerta.

Los clientes de Palo Alto Networks reciben protección contra las amenazas descritas en este blog a través del análisis de malware Cortex XDR y WildFire.

La visualización completa de las técnicas observadas, los cursos de acción relevantes y los indicadores de compromiso (IoC) relacionados con este informe se pueden encontrar en el visor ATOM de la Unit 42.

Descripción de Brute Ratel C4

Brute Ratel C4 se estrenó como herramienta de pruebas de detección en diciembre de 2020. En ese momento, su desarrollo fue un esfuerzo a tiempo parcial de un ingeniero de seguridad llamado Chetan Nayak (alias Paranoid Ninja) que vive en la India. Según su sitio web (Dark Vortex), Nayak acumuló varios años de experiencia trabajando en funciones de equipo rojo de alto nivel en proveedores de ciberseguridad occidentales. Durante los últimos dos años y medio, Nayak introdujo mejoras incrementales en la herramienta Pentest en términos de características, capacidades, soporte y formación.

En enero de 2022, Nayak dejó su trabajo diario para dedicarse a tiempo completo a los talleres de desarrollo y formación. Ese mismo mes, lanzó Brute Ratel v0.9.0 (Checkmate), que se describe como el «mayor lanzamiento de Brute Ratel hasta la fecha».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio