Инструмент для Red Team превратился в мощное средство для скрытных атак по всему миру.
Специалисты Cisco Talos обнаружили, что фреймворк для красной команды MacroPack активно используется злоумышленниками для распространения вредоносного ПО Havoc, Brute Ratel и RAT-троян PhantomCore .
В ходе анализа загрузок вредоносных документов на платформе VirusTotal были выявлены образцы из разных стран, включая США, Китай и Пакистан. Документы различались по уровню сложности, приманкам и методам заражения, что указывает на многообразие киберугроз, связанных с использованием MacroPack.
Разработанный французским разработчиком, MacroPack представляет собой специализированный инструмент для симуляций Red Team и упражнений по имитации действий противника. ПО предлагает расширенные функции, такие как обход антивирусов, техники антиреверсинга и возможность создавать документы с обфускацией кода. Такие функции позволяют скрывать вредоносные VB-скрипты и обходить статический анализ, что значительно затрудняет обнаружение.
Исследователи обратили внимание на то, что хакеры часто используют платную версию MacroPack Pro, которая добавляет в документы характерные VBA-подпрограммы. Подпрограммы, хотя и не являются вредоносными, служат индикатором того, что документ был создан с помощью Pro-версии фреймворка. Открытие такого документа запускает первый этап атаки, при котором VBA-код загружает вредоносную DLL-библиотеку, связывающуюся с C2-сервером.
Анализ активности показал несколько значимых кластеров. В Китае, Пакистане и США были зафиксированы различные кампании с использованием документов, созданных с помощью MacroPack:
Brute Ratel с 2022 года стал популярной альтернативой Cobalt Strike среди хакеров. Инструмент активно используют для обхода EDR-систем и антивирусов. Кроме того, некоторые вымогательские группы применяют взломанную версию инструмента для проведения скрытых атак.
И мы тоже не спим, чтобы держать вас в курсе всех угроз