Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?

Less popular, but very effective, Red-Teaming Tool BRc4 used in attacks in the wild

2022/07/06 SecurityAffairs — Palo Alto Networks Unit 42 の研究者は、2022年5月19日 にVirusTotal データベースにアップロードされたことで、大半のアンチウイルス製品が良性と判断していたサンプルに、レッドチーム/敵対攻撃シミュレーションのためのツールである、Brute Ratel C4 (BRc4) に関連するペイロードが含まれていたことを発見した。Cobalt Strike Beacons とは異なり、BRc4 ペイロードは普及していないが、同様の機能を備えている。このツールは、EDR (endpoint detection and response) や AV (antivirus) などによる、セキュリティ検出を回避するように設計されている。VirusTotal 上のベンダー間で検知されなかったことからも、このツールの有効性は明らかだ。

このツールの Web サイト上では、「Brute Ratel は、現在の C2 市場で最も先進的なレッドチームと敵対シミュレーションのためのソフトウェアだ。攻撃のキルチェインにおける多様な段階をエミュレートするだけではなく、実行された各攻撃の体系的なタイムラインとグラフを提供あうる。したがって、セキュリティ運用チームが攻撃を検証し、内部の防御メカニズムを改善するのに役立つ。Brute Ratel には、いくつかの opsOpec 機能が組み込まれており、レッドチームの作業を容易にし、オープンソースのツール群に依存することなく、攻撃の分析に集中できる。Brute Ratel は、侵害後の C2 昨日を提供するものであり、metasploit のようなエクスプロイト生成機能や、Nessus/Acunetix/BurpSuite などの脆弱性スキャン機能は提供されていない」と説明されている。

このファイルは、2022年5月19日にスリランカから VirusTotal にアップロードされ、Roshan_CV.iso という名前で、履歴書を装っているそうだ。この ISO ファイルをクリックしたユーザーには、無害に見える Word 文書が表示されるが、その背後では攻撃チェーンが開始される。BRc4 のインスタンスがユーザーのマシンにインストールされ、リモート・サーバへのコンタクトを試みることになる。

Unit42 の専門家たちによると、脅威者はスピアフィッシング・メッセージを通じて、この ISO ファイルを広めているとのことだ。

通常、パッケージ化された ISO ファイルの配信は、スピアフィッシングの電子メールキャンペーンを介して行われるが、同じ方法でペイロードをターゲット環境に配信したかどうかは不明である。

専門家たちは、ISOファイル Roshan_CV.ISO の構成が、ロシアに関連する APT29 グループの TTP と、高い互換性があることに気づいた。

ロシアに関連する APT29 グループ (別名 SVR/Cozy Bear/The Dukes) は、2014年ころから APT28 サイバー諜報グループとともに活動しており、民主党全国委員会のハッキングや2016年米国大統領選挙を狙った攻撃に関与してきた。同グループは、SolarWinds のサプライチェーン攻撃を仕掛けた、脅威主体であることも疑われている。

Palo Alto Networks が発表した分析結果には、「ISO ファイルであるRoshan_CV.ISO の構成は、他の国家支援の APT トレード・クラフトのものと酷似している。以下の表は、Roshan_CV.ISO と、以前に特定された APT29 サンプル (Decret.ISO) 比較している」と記している。

研究者たちは、Roshan_CV.ISOファイルがアップロードされた翌日に、ウクライナから VirusTotal にアップロードされた第2のサンプルも発見している。専門家たちは、BRc4 をメモリにロードするために使用されるモジュールに、重要なコードの重複を観察している。さらなる調査により、研究者は 2021年2月に遡り、さらに7つの BRc4 サンプルを発見した。

一連の C2 サーバを分析した専門家たちは、アルゼンチンの組織/北米と南米のコンテンツを提供する IP テレビ・プロバイダー/メキシコの大手繊維メーカーなどの、多数の潜在的な被害者を特定することができたという。

彼らは、「新しいペンテストと敵対エミュレーションの機能が出現したことは重要だ。しかし、より憂慮すべきは、BRc4 が最新の EDR と AV の検出能力を打ち負かすことができるという点だ」と述べている。

このレポートは、「このツールは、これまでの2年半の間に、パートタイムの趣味からフルタイムの開発プロジェクトへと発展し、顧客基盤の拡大も達成している。顧客基盤が数百に拡大するにつれ、このツールは、正当なペンテスト担当者と悪意のサイバーアクターの双方から、サイバ・セキュリティ領域のためのものとして注目を集めるようになった。このブログで紹介されている2つのサンプルの分析と、これらのペイロードをパッケージ化するために使用された高度な技術から、悪意のサイバーアクターが、この機能を採用し始めていることが明らかになっている」と結論づけている。

悪意のツールとして頻繁に利用される Cobalt Strike ですが、本来は演習におけるレッド・チーム (攻撃側) が用いるものであり、サイバー・セキュリティを改善するための正規のツールなのです。しかし、近年、それを悪用する脅威アクターが増えており、サイバー攻撃に用いられるツールとしても、定着してしまったようです。特に、エージェントである Beacons は標的内に静かに潜み、脅威アクターが管理する Command and Control (C2) サーバとの通信を担うものとなります。そして、本題の Brute Ratel C4 (BRc4) ですが、Cobalt Strike と同様の機能を持ち、さらには、EDR と AV の検出能力を打ち負かすことが可能なようです。また、国家に支援される脅威アクターである、いくつかの APT の関連性も見えてきているようです。これは、要注意ですね。

%d bloggers like this: