От защите к атаке: MacroPack перешел на сторону хакеров

Специалисты Cisco Talos обнаружили, что фреймворк для красной команды MacroPack активно используется злоумышленниками для распространения вредоносного ПО Havoc, Brute Ratel и RAT-троян PhantomCore .

В ходе анализа загрузок вредоносных документов на платформе VirusTotal были выявлены образцы из разных стран, включая США, Китай и Пакистан. Документы различались по уровню сложности, приманкам и методам заражения, что указывает на многообразие киберугроз, связанных с использованием MacroPack.

Разработанный французским разработчиком, MacroPack представляет собой специализированный инструмент для симуляций Red Team и упражнений по имитации действий противника. ПО предлагает расширенные функции, такие как обход антивирусов, техники антиреверсинга и возможность создавать документы с обфускацией кода. Такие функции позволяют скрывать вредоносные VB-скрипты и обходить статический анализ, что значительно затрудняет обнаружение.

Исследователи обратили внимание на то, что хакеры часто используют платную версию MacroPack Pro, которая добавляет в документы характерные VBA-подпрограммы. Подпрограммы, хотя и не являются вредоносными, служат индикатором того, что документ был создан с помощью Pro-версии фреймворка. Открытие такого документа запускает первый этап атаки, при котором VBA-код загружает вредоносную DLL-библиотеку, связывающуюся с C2-сервером.

Анализ активности показал несколько значимых кластеров. В Китае, Пакистане и США были зафиксированы различные кампании с использованием документов, созданных с помощью MacroPack:

• В Китае (май–июль 2024 года) распространялись документы, призывающие пользователей включить макросы, что приводило к загрузке вредоносных программ Havoc и Brute Ratel, которые связывались с C2-серверами в Китае.
• В Пакистане обнаружены документы с военными темами, которые распространялись под видом официальных писем от ВВС Пакистана. В файлах использовались Brute Ratel для передачи вредоносных данных через DNS over HTTPS (DoH) и Amazon CloudFront.
• В США (март 2023 года) вредоносный документ представлялся как зашифрованная форма для обновления NMLS (система лицензирования ипотечных компаний) и применял функции, сгенерированные с помощью цепи Маркова, чтобы скрыться от антивирусов. В документе был код, проверяющий наличие песочницы перед загрузкой неизвестного вредоносного ПО.

Brute Ratel с 2022 года стал популярной альтернативой Cobalt Strike среди хакеров. Инструмент активно используют для обхода EDR-систем и антивирусов. Кроме того, некоторые вымогательские группы применяют взломанную версию инструмента для проведения скрытых атак.