Dans sa dernière analyse, L’Unit 42, le cabinet de conseil en cybersécurité et de recherche sur les menaces de Palo Alto Networks, a détecté la présence d’un code malveillant dans un échantillon de logiciel, qui contenait une charge malveillante associée à Brute Ratel C4 (BRc4), un outil de test d’intrusion. BRc4 dispose de capacités furtives, qui intéressent les hackers au plus haut point. D’ailleurs, le 19 mai dernier, un de ces échantillons a été téléchargé sur VirusTotal sans qu’il soit détecté par la plupart des logiciels antivirus et EDR.
« Au-delà des problèmes de détection évidents, nous pensons que cet échantillon est également significatif en termes de charge utile malveillante, de commande et de contrôle (C2) et de conditionnement », s’inquiètent les rédacteurs du rapport. Brute Ratel C4 a été lancé en décembre 2020. À l’époque, son développement était un effort à temps partiel d’un ingénieur en sécurité nommé Chetan Nayak (alias Paranoid Ninja) vivant en Inde. D’après son site Web (Dark Vortex), Nayak a accumulé plusieurs années d’expérience en travaillant dans des rôles d’équipe rouge senior chez des fournisseurs occidentaux de cybersécurité. Au cours des deux dernières années et demie, l’ingénieur a apporté des améliorations progressives à l’outil pentest en termes de fonctions, de capacités, de support et de formation.
Un échantillon conditionné sous la forme d’un ISO autonome
D’après les enquêteurs d’Unit 42, cet échantillon unique a été empaqueté d’une manière cohérente avec les techniques connues du groupe APT29 (Cozy Bear) et leurs récentes campagnes, qui ont exploité des applications bien connues de stockage dans le cloud et de collaboration en ligne. Plus précisément, cet échantillon a été conditionné sous la forme d’un ISO autonome. L’ISO contenait un fichier de raccourci Windows (LNK), une DLL malveillante et une copie légitime de Microsoft OneDrive Updater. Les tentatives d’exécution de l’application bénigne à partir du dossier monté sur l’ISO ont entraîné le chargement de la charge utile malveillante en tant que dépendance, par le biais d’une technique connue sous le nom de détournement de l’ordre de recherche des DLL.
Toutefois, si les techniques d’empaquetage ne suffisent pas à elles seules à attribuer définitivement cet échantillon à APT29, elles démontrent que les utilisateurs de l’outil appliquent désormais des techniques propres à un État-nation pour déployer BRc4.
En ce qui concerne ses capacités de commande et de contrôle (C2), les spécialistes d’Unit 42 ont constaté que l’échantillon a appelé une adresse IP Amazon Web Services (AWS) située aux États-Unis sur le port 443. De plus, le certificat X.509 sur le port d’écoute a été configuré pour usurper l’identité de Microsoft avec « Microsoft » comme nom d’organisation et « Security » comme nom du service de l’organisation. En outre, en se basant sur le certificat et d’autres artefacts, l’équipe d’Unit 42 a identifié un total de 41 adresses IP malveillantes, neuf échantillons BRc4 et trois organisations supplémentaires en Amérique du Nord et du Sud qui ont été touchées par cet outil jusqu’à présent.
Une visualisation complète des techniques observées, les plans d’action et les indicateurs de compromission (IoC) liés à ce rapport sont mis à disposition dans le visualiseur ATOM d’Unit 42.