恶意软件攻击者使用 MacroPack 进行 Havoc、Brute Ratel 和 PhantomCore

admin 2024年9月22日14:57:03评论10 views字数 1128阅读3分45秒阅读模式

根据 Cisco Talos 的新调查结果,威胁行为者可能正在使用专门用于红队练习的工具来为恶意软件提供服务。

有问题的程序是一个名为 MacroPack 的有效负载生成框架,用于生成 Office 文档、Visual Basic 脚本、Windows 快捷方式和其他格式,用于渗透测试和社会工程评估。它由法国开发人员 Emeric Nasi 开发。

这家网络安全公司表示,它发现了从中国、巴基斯坦、俄罗斯和美国上传到 VirusTotal 的工件,这些工件都是由 MacroPack 生成的,用于提供各种有效载荷,例如 Havoc、Brute Ratel 和 PhantomCore 的新变体,这是一种远程访问木马 (RAT),归因于一个名为 Head Mare 的黑客组织。

“在我们剖析的所有引起我们注意的恶意文档中,一个共同的特征是存在四个非恶意 VBA 子例程,”Talos 研究员 Vanja Svajcer 说。

“这些子例程出现在所有样本中,并且没有被混淆。它们也从未被任何其他恶意子例程或任何文档中的其他任何地方使用过。

这里需要注意的一个重要方面是,这些文档的诱饵主题多种多样,从指示用户启用宏的通用主题到似乎来自军事组织的官方外观文档。这表明不同的威胁行为者参与其中。

还观察到一些文档利用作为 MacroPack 一部分提供的高级功能,通过使用马尔可夫链创建看似有意义的函数和变量名称来隐藏恶意功能,从而绕过反恶意软件启发式检测。

2024 年 5 月至 7 月期间观察到的攻击链遵循一个三步过程,需要发送一个包含 MacroPack VBA 代码的诱杀 Office 文档,然后解码下一阶段的有效负载,最终获取并执行最终的恶意软件。

这一发展表明,威胁行为者不断更新策略以应对中断,并采用更复杂的代码执行方法。

尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
恶意软件攻击者使用 MacroPack 进行 Havoc、Brute Ratel 和 PhantomCore
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
恶意软件攻击者使用 MacroPack 进行 Havoc、Brute Ratel 和 PhantomCore
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com

原文始发于微信公众号(信息安全大事件):恶意软件攻击者使用 MacroPack 进行 Havoc、Brute Ratel 和 PhantomCore

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月22日14:57:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意软件攻击者使用 MacroPack 进行 Havoc、Brute Ratel 和 PhantomCorehttps://cn-sec.com/archives/3135347.html

发表评论

匿名网友 填写信息