导 读
MacroPack 框架最初是为红队演习而设计的,但被高级威胁黑客组织滥用来部署恶意负载,包括 Havoc、Brute Ratel 和 PhatomCore。
思科 Talos的安全研究人员分析了来自美国、俄罗斯、巴基斯坦等多个国家在 VirusTotal 上提交的恶意文档。
这些文件的诱饵、复杂程度和感染媒介各不相同,表明 MacroPack 正被多个高级威胁组织滥用,预示着一种潜在的趋势。
MacroPack 有效载荷生成
MacroPack 是一款专注于红队演习和对手模拟的专有工具,由法国开发商 Emeric Nasi (dba BallisKit )创建。
它提供高级功能,例如反恶意软件绕过、反逆向技术,以及使用代码混淆构建各种文档有效负载并嵌入不可检测的 VB 脚本的能力。
还有一个名为 MacroPack Community 的“精简”开源版本,该版本不再维护。
思科报告称,在野外捕获了许多文档样本,这些样本带有使用 MacroPack 创建的标志,包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符(以最大限度地降低静态分析的检测率)以及字符串编码。
所有这些文档都有一个明显的特征,表明它们是基于 MacroPack Pro 构建的,那就是存在四个非恶意的 VBA 子程序,研究人员表示,他们确认这些子程序是由该框架的专业版本添加的。
非恶意 VBA 子程序
受害者打开这些 Microsoft Office 文档将触发第一阶段 VBA 代码,该代码会加载连接到攻击者的命令和控制 (C2) 服务器的恶意 DLL。
攻击链,来源:思科
野外文件
Cisco Talos 的报告确定了与 MacroPack 滥用相关的几个重大恶意活动集群,总结如下:
-
巴基斯坦:巴基斯坦境内上传了与巴基斯坦军事主题相关的文件。一份文件伪装成巴基斯坦空军通告,另一份伪装成就业确认书,部署了 Brute Ratel 獾。这些文件使用 DNS over HTTPS 和 Amazon CloudFront 进行通信,其中一个文件嵌入了 base64 编码的 blob 以进行 Adobe Experience Cloud 跟踪。
-
俄罗斯:2024 年 7 月,一个俄罗斯 IP 上传的空白 Excel 工作簿提供了用于间谍活动的基于 Golang 的后门 PhantomCore。该文档运行了多阶段 VBA 代码,试图从远程 URL 下载后门。
-
美国:2023 年 3 月上传的一份文件伪装成加密的 NMLS 续订表格,并使用马尔可夫链生成的函数名来逃避检测。该文件包含多阶段 VBA 代码,在尝试通过 mshta.exe 下载未知有效负载之前会检查沙盒环境。
Brute Ratel 是一种后利用攻击框架,黑客自 2022 年中期以来一直在部署它作为 Cobalt Strike 的替代方案。
此外,还发现勒索软件团伙使用该工具的破解版本在攻击期间逃避 EDR 和 安全软件检测。
MacroPack 的滥用为这些攻击增加了另一层隐蔽性,对于防御者来说这是一个令人担忧的发展。
技术报告:https://blog.talosintelligence.com/threat-actors-using-macropack/
参考链接:
https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):红队工具“MacroPack”在攻击中被滥用来部署 Brute Ratel
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论