红队工具MacroPack在攻击中被滥用来部署 Brute Ratel

admin 2024年9月9日22:47:44评论23 views字数 1466阅读4分53秒阅读模式

导 

MacroPack 框架最初是为红队演习而设计的,但被高级威胁黑客组织滥用来部署恶意负载,包括 Havoc、Brute Ratel 和 PhatomCore。

红队工具MacroPack在攻击中被滥用来部署 Brute Ratel

思科 Talos的安全研究人员分析了来自美国、俄罗斯、巴基斯坦等多个国家在 VirusTotal 上提交的恶意文档。

这些文件的诱饵、复杂程度和感染媒介各不相同,表明 MacroPack 正被多个高级威胁组织滥用,预示着一种潜在的趋势。

MacroPack 有效载荷生成

MacroPack 是一款专注于红队演习和对手模拟的专有工具,由法国开发商 Emeric Nasi (dba BallisKit )创建。

它提供高级功能,例如反恶意软件绕过、反逆向技术,以及使用代码混淆构建各种文档有效负载并嵌入不可检测的 VB 脚本的能力。

红队工具MacroPack在攻击中被滥用来部署 Brute Ratel

还有一个名为 MacroPack Community 的“精简”开源版本,该版本不再维护。

思科报告称,在野外捕获了许多文档样本,这些样本带有使用 MacroPack 创建的标志,包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符(以最大限度地降低静态分析的检测率)以及字符串编码。

所有这些文档都有一个明显的特征,表明它们是基于 MacroPack Pro 构建的,那就是存在四个非恶意的 VBA 子程序,研究人员表示,他们确认这些子程序是由该框架的专业版本添加的。

红队工具MacroPack在攻击中被滥用来部署 Brute Ratel

非恶意 VBA 子程序

受害者打开这些 Microsoft Office 文档将触发第一阶段 VBA 代码,该代码会加载连接到攻击者的命令和控制 (C2) 服务器的恶意 DLL。

红队工具MacroPack在攻击中被滥用来部署 Brute Ratel

攻击链,来源:思科

野外文件

Cisco Talos 的报告确定了与 MacroPack 滥用相关的几个重大恶意活动集群,总结如下:

  • 巴基斯坦:巴基斯坦境内上传了与巴基斯坦军事主题相关的文件。一份文件伪装成巴基斯坦空军通告,另一份伪装成就业确认书,部署了     Brute Ratel 獾。这些文件使用 DNS over HTTPS 和 Amazon CloudFront 进行通信,其中一个文件嵌入了     base64 编码的 blob 以进行 Adobe Experience Cloud 跟踪。

  • 俄罗斯:2024 年 7     月,一个俄罗斯 IP 上传的空白 Excel 工作簿提供了用于间谍活动的基于 Golang 的后门 PhantomCore。该文档运行了多阶段     VBA 代码,试图从远程 URL 下载后门。

  • 美国:2023 年 3     月上传的一份文件伪装成加密的 NMLS 续订表格,并使用马尔可夫链生成的函数名来逃避检测。该文件包含多阶段 VBA 代码,在尝试通过     mshta.exe 下载未知有效负载之前会检查沙盒环境。

Brute Ratel 是一种后利用攻击框架,黑客自 2022 年中期以来一直在部署它作为 Cobalt Strike 的替代方案。

此外,还发现勒索软件团伙使用该工具的破解版本在攻击期间逃避 EDR 和 安全软件检测。

MacroPack 的滥用为这些攻击增加了另一层隐蔽性,对于防御者来说这是一个令人担忧的发展。

技术报告:https://blog.talosintelligence.com/threat-actors-using-macropack/

参考链接:

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

红队工具MacroPack在攻击中被滥用来部署 Brute Ratel

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):红队工具“MacroPack”在攻击中被滥用来部署 Brute Ratel

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月9日22:47:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队工具MacroPack在攻击中被滥用来部署 Brute Ratelhttps://cn-sec.com/archives/3141537.html

发表评论

匿名网友 填写信息