От защите к атаке: MacroPack перешел на сторону хакеров

Безопасный VPN через Телеграмм – обойди все блокировки:

Инструмент для Red Team превратился в мощное средство для скрытных атак по всему миру.

Специалисты Cisco Talos обнаружили, что фреймворк для красной команды MacroPack активно используется злоумышленниками для распространения вредоносного ПО Havoc, Brute Ratel и RAT-троян PhantomCore .

В ходе анализа загрузок вредоносных документов на платформе VirusTotal были выявлены образцы из разных стран, включая США, Китай и Пакистан. Документы различались по уровню сложности, приманкам и методам заражения, что указывает на многообразие киберугроз, связанных с использованием MacroPack.

Купи VPN в России за минуту через наш Телеграмм-бот:

Разработанный французским разработчиком, MacroPack представляет собой специализированный инструмент для симуляций Red Team и упражнений по имитации действий противника. ПО предлагает расширенные функции, такие как обход антивирусов, техники антиреверсинга и возможность создавать документы с обфускацией кода. Такие функции позволяют скрывать вредоносные VB-скрипты и обходить статический анализ, что значительно затрудняет обнаружение.

Исследователи обратили внимание на то, что хакеры часто используют платную версию MacroPack Pro, которая добавляет в документы характерные VBA-подпрограммы. Подпрограммы, хотя и не являются вредоносными, служат индикатором того, что документ был создан с помощью Pro-версии фреймворка. Открытие такого документа запускает первый этап атаки, при котором VBA-код загружает вредоносную DLL-библиотеку, связывающуюся с C2-сервером.

Анализ активности показал несколько значимых кластеров. В Китае, Пакистане и США были зафиксированы различные кампании с использованием документов, созданных с помощью MacroPack:

  • В Китае (май–июль 2024 года) распространялись документы, призывающие пользователей включить макросы, что приводило к загрузке вредоносных программ Havoc и Brute Ratel, которые связывались с C2-серверами в Китае.
  • В Пакистане обнаружены документы с военными темами, которые распространялись под видом официальных писем от ВВС Пакистана. В файлах использовались Brute Ratel для передачи вредоносных данных через DNS over HTTPS (DoH) и Amazon CloudFront.
  • В США (март 2023 года) вредоносный документ представлялся как зашифрованная форма для обновления NMLS (система лицензирования ипотечных компаний) и применял функции, сгенерированные с помощью цепи Маркова, чтобы скрыться от антивирусов. В документе был код, проверяющий наличие песочницы перед загрузкой неизвестного вредоносного ПО.
  2149: Мир, где алгоритмы управляют каждым мгновением нашей жизни

Brute Ratel с 2022 года стал популярной альтернативой Cobalt Strike среди хакеров. Инструмент активно используют для обхода EDR-систем и антивирусов. Кроме того, некоторые вымогательские группы применяют взломанную версию инструмента для проведения скрытых атак.

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх