Инструмент для Red Team используется в атаках для обхода средств защиты

Екатерина Быстрова 06 Июля 2022 - 19:41

Домашние пользователи

Корпорации

Palo Alto Networks

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Целевые атаки

Таргетированные атаки

...

Инструмент для Red Team используется в атаках для обхода средств защиты

Киберпреступники начали использовать в атаках инструмент для пентеста Brute Ratel (BRc4), предназначенный для команд Red Team. С его помощью злоумышленникам якобы удаётся избегать детектирования и оставаться незамеченными в системе жертвы.

Специалисты Unit 42 (подразделение Palo Alto Networks) отметили, что один из образцов вредоноса был загружен на VirusTotal 19 мая 2022 года.

Исследователи нашли связь соответствующего пейлоада с набором инструментов Brute Ratel C4, помогающим избегать детектирования EDR-системами и антивирусными продуктами. BRc4, разработанный иранским специалистом Читаном Наяком, по своей сути является аналогом Cobalt Strike. Сам автор описывает его как «настраиваемый командный центр для Red Team и симуляции кибератак».

BRc4 — платный софт, первая версия которого вышла в конце 2020 года. За это время 350 клиентов приобрели более 480 лицензий на инструмент, каждая из которых обходится в 2500 долларов в год. При этом BRc4 может похвастаться богатой функциональностью: внедрение в процесс, снятие скриншотов, загрузка и скачивание файлов, много каналов для C2-взаимодействия и возможность хранить спрятанные от антивирусов артефакты памяти.

Использующие этот инструмент киберпреступники доставляют вредоносную нагрузку через образ Roshan_CV.iso, который при запуске монтирует Windows-диск, содержащий с виду безобидный документ в формате Word. Однако при запуске этого файла в систему пользователя устанавливается BRc4.

«Файл Roshan_CV.ISO и его содержимое подозрительно похожи на то, что использует другая APT-группа — российская APT29 (также известна под именами Cozy Bear, The Dukes и Iron Hemlock)», — объясняют исследователи из Unit 42.

Интересно, что второй семпл вредоноса загрузили на VirusTotal с территории Украины, а в общей сложности специалисты нашли уже семь образцов, датируемых февралём 2021 года.

Кстати, после сообщений Unit 42 тот самый Наяк, автор BRc4 сообщил, что в отношении соответствующих лицензий «были приняты адекватные меры».

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 11 Марта 2026 - 16:53

Соответствие законодательству РФ Общее Защита персональных данных Соответствие требованиям регуляторов

Минцифры утвердило подготовку требований о предоставлении обезличенных ПДн

Минцифры опубликовало приказ, который регламентирует порядок предоставления операторами персональных данных сведений, полученных в результате их обезличивания, в ГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД).

Приказ №173 опубликован на сайте ведомства. Сам документ и приложения к нему доступны для загрузки в одном из двух форматов: PDF или Microsoft Word.

Как напомнили в Минцифры, требования к обезличиванию персональных данных, а также методы и правила такого обезличивания в случаях, когда оператор получает соответствующее требование от министерства, были утверждены постановлением правительства № 1154 от 1 августа 2025 года. Нынешний приказ развивает положения пунктов 3 и 6 этого постановления.

Минцифры вправе запрашивать у операторов обезличенные персональные данные в случаях, предусмотренных постановлением правительства № 538 от 24 апреля 2025 года.

Перечень таких случаев ограничен. В него входят чрезвычайные ситуации различного характера, введение режима чрезвычайного положения, а также карантинные меры, связанные с инфекционными заболеваниями.

Требование о предоставлении обезличенных данных должно содержать перечень запрашиваемых сведений и сроки их передачи. В такой перечень входят наименования атрибутов, формат предоставления данных и критерии выборки — например, категория абонентов, сведения о которых подлежат анализу, территория анализа, глубина сбора данных или временной период.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!