压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

本用于紅隊演練的MacroPack框架，如今正被惡意攻擊者濫用，利用其強大的反檢測功能來投放惡意負載（包括Havoc、Brute Ratel和PhantomCore等）。據思科Talos安全研究人員分析，MacroPack正被多個國家的威脅者用于發動攻擊，涉及來自美國、俄羅斯、中國、巴基斯坦等國家的大量惡意文檔。

MacroPack：從安全工具到網絡威脅

MacroPack最初由法國開發者Emeric Nasi設計，旨在為紅隊提供演練和模擬對手行為的工具。其功能包括繞過反惡意軟件檢測、反逆向技術、代碼混淆以及將惡意腳本嵌入文檔的能力。

然而，這一框架現已成為攻擊者的利器，通過文檔加載惡意代碼。

思科Talos報告指出，他們在野外捕獲了大量使用MacroPack生成的惡意文檔。這些文檔具有明顯的特征，比如基于Markov鏈的函數和變量重命名、刪除注釋與多余的空格字符等，旨在降低靜態分析檢測的成功率。此外，MacroPack Pro版本會在文檔中添加特定的VBA子程序，這是攻擊者使用該工具的“指紋”。

全球四大攻擊集群

思科Talos團隊根據地理位置和攻擊模式，歸納出濫用MacroPack的四大攻擊集群（源頭）：

• 中國：來自中國和巴基斯坦IP地址的惡意文檔（2024年5月至7月）指示用戶啟用宏功能，并傳送Havoc和Brute Ratel負載。這些負載與位于中國河南的C2服務器（AS4837）通信。
• 巴基斯坦：具有巴基斯坦軍方主題的文檔，上傳自巴基斯坦，偽裝成巴基斯坦空軍的公告或就業確認文檔，部署了Brute Ratel惡意軟件。攻擊者通過DNS over HTTPS和Amazon CloudFront通信，其中一份文檔還嵌入了用于Adobe Experience Cloud追蹤的Base64編碼數據。
• 俄羅斯：2024年7月，從俄羅斯IP地址上傳的一份空白Excel工作簿部署了名為PhantomCore的Golang后門，用于間諜活動。文檔包含多階段VBA代碼，試圖從遠程URL下載后門程序。
• 美國：2023年3月上傳的一份文件偽裝為加密的NMLS續簽表單，使用了Markov鏈生成的函數名以逃避檢測。文檔包含的多階段VBA代碼，在嘗試下載未知負載前會檢查沙箱環境。

總結：紅隊工具黑化新趨勢

MacroPack的濫用標志著一種新趨勢，黑客正越來越多地利用原本用于安全演練的工具發起攻擊。盡管MacroPack本身并非惡意軟件，但其強大的混淆和反檢測能力使其成為網絡犯罪分子的利器，未來可能會出現更多此類工具被濫用的案例。

此外，MacroPack框架的濫用表明，黑客正在不斷升級他們的工具庫，結合先進的反檢測技術和社交工程攻擊。這一趨勢需要全球安全團隊加強對文檔惡意軟件的檢測和防御，特別是在處理宏功能和復雜混淆代碼的文檔時保持高度警惕。

參考鏈接：

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

聲明：本文來自GoUpSec，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。