Brute Ratel ポスト・エクスプロイト・キットのクラック版:残念なことに蔓延の兆し

Hackers now sharing cracked Brute Ratel post-exploitation kit online

2022/09/28 BleepingComputer — Brute Ratel のポスト・エクスプロイト・ツールキットがクラックされ、ロシア語圏と英語圏のハッキング・コミュニティで無料で共有されている。Brute Ratel C4 (BRC4) を知らない人のために説明すると、これは Mandiant と CrowdStrike の元レッドチーマーである、Chetan Nayak が作成したポスト・エクスプロイト・ツールキットのことである。

レッドチーマーとは、企業ネットワークに侵入して、その欠陥を知ることを仕事とするサイバー・セキュリティの専門家であり、ブルーチームの人々は、その攻撃を防御する側の専門家となる。


一連の演習の後に、両グループは発見されたことについて議論し、それにより、防御の強化とセキュリティの向上が達成される。

Cobalt Strike と同様に、Brute Ratel はレッドチームが使用するツールキットであり、侵害したネットワーク機器に Badger と呼ばれるエージェントを配置し、それを使ってリモートでコマンドを実行し、ネットワーク上に危険を拡散させるというものだ。

Brute Ratel はクラックされている

ここ数年、Cobalt Strike のクラック版は、脅威アクターやランサムウェア・ギャングにより酷使され、セキュリティ・ソフトウェアによる容易な検出が可能になってきた。

そのため、一部の脅威アクターやランサムウェア・ギャングたちは、ライセンス認証システムを通過させるために、偽の米国企業を作成したとされる Brute Ratel に攻撃を切り替えて、静かに活動してきた。

しかし、Cyber Threat Intelligence Researcher である Will Thomas (別名 BushidoToken) は、Brute Ratel のクラックされたコピーが、オンラインのハッキングフォーラムで広く出回り、この状況は変化していることを報告した。

Thomas は Brute Ratel のクラック版に関する最新レポートの中で、「データ・ブローカー/マルウェア開発者/イニシャル・アクセス・ブローカー/ランサムウェア・アフィリエイトなどが集まる、最も利用者の多いサイバー犯罪フォーラムに複数の投稿がある。そこには、BreachForums/CryptBB/RAMP/Exploit[.]in/Xss[.]is などの、Telegram と Discord のグループが含まれる」と警告している。

XSS と Breached のハッキング・フォーラムを簡易的に検索したところ、脅威アクターは複数のトピックを作成し、9月中旬以降においては、Brute Ratel C4 バージョン 1.2.2のクラック版を共有していることが判明した。

Forum post shared the uncracked and cracked version of Brute Ratel
Forum post shared the uncracked and cracked version of Brute Ratel
Source: BleepingComputer

過去において、Brute Ratel の開発者である Chetan Nayak は BleepingComputerに対し、Brute Ratel を悪用するユーザーに対しては、ライセンスを取り消すと述べている。

しかし Nayak は、クラックされていないバージョンが VirusTotal にアップロードされ、それがロシアのグループ Molecules によりクラックされ、ライセンス・チェックが外されたと主張している。

ソフトウェアが、流出した原因はともかく、残念ながら遅すぎる。

Thomas は BleepingComputer に対して、「クラックされたバージョンは動作し、改ざんされていないように見える」と語っている。私たちは間もなく、このツールキットの幅広い利用を目にすることになりそうだ。このツールキットを利用するのに、ライセンス・キーを入力する必要はない。Curated Intel のスタッフからは、改ざんされているようには見えないと、Thomas は BleepingComputer に説明している。

実際のところ、すでに脅威アクターたちは、このツールキットをテストを開始し、スクリーンショットをハッキングフォーラムで共有し始めている。

Threat actor testing the Brute Ratel toolkit
Threat actor testing the Brute Ratel toolkit
Source: XSS

Thomas が最も懸念しているのは、現時点ではセキュリティ・ソフトウェアが容易に検出できないシェルコードを、Brute Ratel が生成できることだ。

彼は、「多くのセキュリティ専門家にとって、BRC4 ツールで最も気になる点の1つは、多くの EDR/AV 製品で検出されないシェルコードを生成する能力だ。検知を回避できる期間が長くなることで、脅威アクターたちイニシャル・アクセスを確立し、横方向の移動を開始し、他の場所で永続性を獲得するための、十分な時間を確保できる」とレポートで説明している。

Thomas は、セキュリティ/ネットワーク/Windows の管理者が、MdSec の Brute Ratel C4 に関するブログを参照し、ネットワーク上のソフトウェアを検出するための、詳細な情報を取得することを推奨している。

この Brute Ratel C4 は、ポスト Cobalt Strike になってしまうのでしょうか?この件については、6月6日の「Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?」でも、詳しく説明されています。また、8月25日の「Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?」も、もう1つのポスト Cobalt Strike を警告する記事です。正規のツールがクラックされ、驚異アクターたちのツールになるという展開が止まりませんね。

%d bloggers like this: