Безопасный VPN через Телеграмм – обойди все блокировки:
|
Инструмент для Red Team превратился в мощное средство для скрытных атак по всему миру.
Специалисты Cisco Talos обнаружили, что фреймворк для красной команды MacroPack активно используется злоумышленниками для распространения вредоносного ПО Havoc, Brute Ratel и RAT-троян PhantomCore .
В ходе анализа загрузок вредоносных документов на платформе VirusTotal были выявлены образцы из разных стран, включая США, Китай и Пакистан. Документы различались по уровню сложности, приманкам и методам заражения, что указывает на многообразие киберугроз, связанных с использованием MacroPack.
Купи VPN в России за минуту через наш Телеграмм-бот:
|
Разработанный французским разработчиком, MacroPack представляет собой специализированный инструмент для симуляций Red Team и упражнений по имитации действий противника. ПО предлагает расширенные функции, такие как обход антивирусов, техники антиреверсинга и возможность создавать документы с обфускацией кода. Такие функции позволяют скрывать вредоносные VB-скрипты и обходить статический анализ, что значительно затрудняет обнаружение.
Исследователи обратили внимание на то, что хакеры часто используют платную версию MacroPack Pro, которая добавляет в документы характерные VBA-подпрограммы. Подпрограммы, хотя и не являются вредоносными, служат индикатором того, что документ был создан с помощью Pro-версии фреймворка. Открытие такого документа запускает первый этап атаки, при котором VBA-код загружает вредоносную DLL-библиотеку, связывающуюся с C2-сервером.
Анализ активности показал несколько значимых кластеров. В Китае, Пакистане и США были зафиксированы различные кампании с использованием документов, созданных с помощью MacroPack:
- В Китае (май–июль 2024 года) распространялись документы, призывающие пользователей включить макросы, что приводило к загрузке вредоносных программ Havoc и Brute Ratel, которые связывались с C2-серверами в Китае.
- В Пакистане обнаружены документы с военными темами, которые распространялись под видом официальных писем от ВВС Пакистана. В файлах использовались Brute Ratel для передачи вредоносных данных через DNS over HTTPS (DoH) и Amazon CloudFront.
- В США (март 2023 года) вредоносный документ представлялся как зашифрованная форма для обновления NMLS (система лицензирования ипотечных компаний) и применял функции, сгенерированные с помощью цепи Маркова, чтобы скрыться от антивирусов. В документе был код, проверяющий наличие песочницы перед загрузкой неизвестного вредоносного ПО.
Brute Ratel с 2022 года стал популярной альтернативой Cobalt Strike среди хакеров. Инструмент активно используют для обхода EDR-систем и антивирусов. Кроме того, некоторые вымогательские группы применяют взломанную версию инструмента для проведения скрытых атак.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.
Почему стоит использовать платный VPN сервис?
- Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
- Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
- Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
