Si nous étions déjà habitués à étudier les techniques employées par les groupes APT dans l’utilisation de l’outil Cobalt-Strike, nous sommes maintenant rejoints par un nouvel acteur : Brute Ratel. Une version craquée de ce logiciel a été mise à la disposition des utilisateurs de divers forums clandestins et de canaux liés à la cybercriminalité.
Brute Ratel est le produit d’une société appelée Dark Vortex. Un outil dont l’objectif est très similaire à celui de Cobalt Strike. Il est utilisé pour coordonner les actions post-exploitation lors des exercices de Red Teaming. En d’autres termes, il s’agit d’un cadre d’attaque très professionnel qui vise à agréger les communications de différents nœuds ou machines compromises avec des capacités de furtivité et un profil bas contre les solutions de détection des logiciels malveillants.
Jusqu’à présent, l’outil n’a pas été largement diffusé ou utilisé, mais cela pourrait changer avec la publication de cette version craquée. Comme pour Cobalt Strike, il faut s’attendre à ce que les groupes cybercriminels s’approprient sa fonctionnalité (il est capable de créer des shellcodes qui ne sont pas détectés) et l’adaptent à leurs opérations.
Si les détections de l’utilisation de Cobalt Strike étaient jusqu’à présent indispensables pour indiquer une opération en cours, un nouveau concurrent entre en jeu. Il est possible que, d’ici peu, nous voyions de nombreux autres échantillons de logiciels malveillants utiliser ce nouveau cadre, profitant du fait qu’il n’est pas encore un visage familier dans le voisinage et qu’il peut passer inaperçu.
Plus d’information:
https://bruteratel.com
https://blog.bushidotoken.net/2022/09/brute-ratel-cracked-and-shared-across.html