Новости От защите к атаке: MacroPack перешел на сторону хакеров

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Инструмент для Red Team превратился в мощное средство для скрытных атак по всему миру.


ck5bcs0tm5eqommsvsgobja5dbye0etp.jpg


Специалисты Cisco Talos Для просмотра ссылки Войди или Зарегистрируйся что фреймворк для красной команды MacroPack активно используется злоумышленниками для распространения вредоносного ПО Havoc, Brute Ratel и RAT -троян Для просмотра ссылки Войди или Зарегистрируйся .

В ходе анализа загрузок вредоносных документов на платформе VirusTotal были выявлены образцы из разных стран, включая США, Китай и Пакистан. Документы различались по уровню сложности, приманкам и методам заражения, что указывает на многообразие киберугроз, связанных с использованием MacroPack.

Разработанный французским разработчиком, Для просмотра ссылки Войди или Зарегистрируйся представляет собой специализированный инструмент для симуляций Red Team и упражнений по имитации действий противника. ПО предлагает расширенные функции, такие как обход антивирусов, техники антиреверсинга и возможность создавать документы с обфускацией кода. Такие функции позволяют скрывать вредоносные VB-скрипты и обходить статический анализ, что значительно затрудняет обнаружение.

Исследователи обратили внимание на то, что хакеры часто используют платную версию MacroPack Pro, которая добавляет в документы характерные VBA-подпрограммы. Подпрограммы, хотя и не являются вредоносными, служат индикатором того, что документ был создан с помощью Pro-версии фреймворка. Открытие такого документа запускает первый этап атаки, при котором VBA-код загружает вредоносную DLL-библиотеку, связывающуюся с C2-сервером.

Анализ активности показал несколько значимых кластеров. В Китае, Пакистане и США были зафиксированы различные кампании с использованием документов, созданных с помощью MacroPack:

  • В Китае (май–июль 2024 года) распространялись документы, призывающие пользователей включить макросы, что приводило к загрузке вредоносных программ Havoc и Brute Ratel, которые связывались с C2-серверами в Китае.
  • В Пакистане обнаружены документы с военными темами, которые распространялись под видом официальных писем от ВВС Пакистана. В файлах использовались Brute Ratel для передачи вредоносных данных через DNS over HTTPS (DoH) и Amazon CloudFront.
  • В США (март 2023 года) вредоносный документ представлялся как зашифрованная форма для обновления NMLS (система лицензирования ипотечных компаний) и применял функции, сгенерированные с помощью цепи Маркова, чтобы скрыться от антивирусов. В документе был код, проверяющий наличие песочницы перед загрузкой неизвестного вредоносного ПО.
Brute Ratel с 2022 года стал популярной альтернативой Cobalt Strike среди хакеров. Инструмент активно используют для обхода EDR-систем и антивирусов. Кроме того, некоторые вымогательские группы применяют взломанную версию инструмента для проведения скрытых атак.
 
Источник новости
www.securitylab.ru

Похожие темы