Инструмент пентестера из Mandiant взломан и выложен в открытый доступ

Набор инструментов для постэксплуатации Brute Ratel С4 был взломан и теперь бесплатно распространяется на хакерских форумах. Набор создан Четаном Наяком, бывшим членом Red Hat команды Mandiant и CrowdStrike.

Исследователь киберугроз Уилл Томас (BushidoToken) сообщил , что взломанная копия Brute Ratel в настоящее время распространяется среди злоумышленников на хакерских форумах, в том числе BreachForums, CryptBB, RAMP, Exploit.in и Xss.is, а также различные группы Telegram и Discord.

На форумах XSS и Breached киберпреступники уже создали несколько тем, в которых они с середины сентября делятся взломанной версией Brute Ratel C4 версии 1.2.2.

Сообщение на форуме с ссылками на лицензионную и взломанную версии Brute Ratel

Разработчик Brute Ratel Четан Наяк сообщил, что может отозвать лицензии у любых клиентов, использующих Brute Ratel в злонамеренных целях. Однако, по его словам, на VirusTotal была загружена лицензионная версия, которая затем была взломана группировкой «Molecules».

Brute Ratel может генерировать шелл-код, который не обнаруживается средствами безопасности. Это предоставляет хакеру достаточное количество времени, чтобы установить первоначальный доступ , совершить боковое перемещение и установить постоянство в системе.

Brute Ratel C4 представляет из себя сложный набор инструментов «для избежания обнаружения с помощью EDR-решений и антивирусного ПО». Он является аналогом Cobalt Strike и описывается как «настраиваемый центр управления и контроля для красной команды (Red Team) и эмуляции противника».