Το MacroPack framework, ένα εργαλείο που έχει σχεδιαστεί για ασκήσεις και δοκιμές των Red Teams, χρησιμοποιείται τώρα από κυβερνοεγκληματίες για την ανάπτυξη κακόβουλων payloads, συμπεριλαμβανομένων των Havoc, Brute Ratel και PhatomCore.
Ερευνητές ασφαλείας της Cisco Talos ανέλυσαν υποβολές κακόβουλων εγγράφων στο VirusTotal από διάφορες χώρες, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, της Ρωσίας, της Κίνας και του Πακιστάν.
Αυτά τα κακόβουλα έγγραφα διέφεραν μεταξύ τους (ως προς τα δέλεαρ, την πολυπλοκότητα), το οποίο μάλλον σημαίνει ότι πολλές διαφορετικές hacking ομάδες καταχρώνται το MacroPack στα πλαίσια των επιθέσεών τους.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το rootkit FudModule μέσω Chrome zero-day
MacroPack framework
Όπως προείπαμε, το MacroPack έχει σχεδιαστεί για χρήση σε ασκήσεις των Red Teams και προσομοιώσεις επιθέσεων. Δημιουργήθηκε από τον Γάλλο προγραμματιστή Emeric Nasi (dba BallisKit). Προσφέρει προηγμένες δυνατότητες, όπως anti-malware bypass, anti-reversing τεχνικές και δυνατότητα δημιουργίας διαφόρων document payloads με στοιχεία που του επιτρέπουν να παραμένει απαρατήρητο.
Η Cisco αναφέρει, τώρα, ότι έχει εντοπίσει πολλά δείγματα εγγράφων που φαίνεται να συνδέονται με το MacroPack.
Τα θύματα που ανοίγουν αυτά τα έγγραφα του Microsoft Office θα ενεργοποιήσουν έναν κώδικα VBA πρώτου σταδίου, ο οποίος φορτώνει ένα κακόβουλο DLL που συνδέεται με τον διακομιστή εντολών και ελέγχου (C2) του εισβολέα.
Δείτε επίσης: Hackers έκλεψαν crypto αξίας $ 313 εκατ. τον Αύγουστο
Τι ανακάλυψε η Cisco Talos
Η αναφορά της Cisco Talos προσδιορίζει τέσσερις σημαντικές ομάδες κυβερνοεγκληματιών που σχετίζονται με την κατάχρηση του MacroPack:
Κίνα: Έγγραφα από διευθύνσεις IP στην Κίνα, την Ταϊβάν και το Πακιστάν (Μάιος-Ιούλιος 2024) έδωσαν οδηγίες στους χρήστες να ενεργοποιήσουν μακροεντολές. Το αποτέλεσμα ήταν η εγκατάσταση των Havoc και Brute Ratel payloads στις συσκευές των θυμάτων. Αυτά τα payloads συνδέονται με διακομιστές C2 που βρίσκονται στο Henan, Κίνα (AS4837).
Πακιστάν: Έγγραφα με πακιστανικά στρατιωτικά θέματα μεταφορτώθηκαν από τοποθεσίες στο Πακιστάν. Ένα έγγραφο, που παρουσιάζεται ως εγκύκλιος από την Πολεμική Αεροπορία του Πακιστάν και ένα άλλο που παρουσιάζεται ως επιβεβαίωση απασχόλησης, ανέπτυξαν Brute Ratel badgers.
Ρωσία: Ένα κενό Excel workbook μεταφορτώθηκε από μια ρωσική IP τον Ιούλιο του 2024 και παρέδωσε το PhantomCore backdoor που χρησιμοποιείται για κατασκοπεία. Το έγγραφο εκτελούσε κώδικα VBA πολλαπλών σταδίων, ο οποίος προσπάθησε να πραγματοποιήσει λήψη του backdoor από μια απομακρυσμένη διεύθυνση URL.
ΗΠΑ: Ένα έγγραφο που μεταφορτώθηκε τον Μάρτιο του 2023 παρουσιάστηκε ως κρυπτογραφημένη φόρμα ανανέωσης NMLS και χρησιμοποιούσε Markov Chain-generated function names για να αποφύγει τον εντοπισμό. Το έγγραφο περιείχε κώδικα VBA πολλαπλών σταδίων, ο οποίος έλεγξε για περιβάλλοντα sandbox πριν επιχειρήσει να πραγματοποιήσει λήψη ενός άγνωστου payload μέσω του mshta.exe.
Ομάδες ransomware φαίνεται, επίσης, να χρησιμοποιούν μια cracked έκδοση του εργαλείου για την αποφυγή EDR και AV κατά τη διάρκεια επιθέσεων.
Δείτε επίσης: Hackers στοχεύουν κινέζικες επιχειρήσεις με Cobalt Strike Payloads
Η κατάχρηση του MacroPack αποτελεί μια ανησυχητική εξέλιξη για τους υπερασπιστές δικτύων και δείχνει ότι όλο και περισσότεροι κυβερνοεγκληματίες χρησιμοποιούν νόμιμα εργαλεία για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας. Η χρήση του MacroPack framework όχι μόνο προσφέρει στους εισβολείς ένα κρυφό μέσο διείσδυσης, αλλά τους επιτρέπει επίσης να εκμεταλλευτούν την εμπιστοσύνη σε αυτά τα εργαλεία. Ως αποτέλεσμα, οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση και να προσαρμόσουν τα πρωτόκολλα ασφαλείας τους, διασφαλίζοντας ότι είναι εξοπλισμένοι για να ανιχνεύουν και να ανταποκρίνονται σε τέτοιες περίπλοκες απειλές. Η συνεχής εκπαίδευση και ευαισθητοποίηση σχετικά με αυτές τις τακτικές είναι ουσιαστικής σημασίας για την ανάπτυξη αποτελεσματικότερων αντίμετρων έναντι αυτών των εξελισσόμενων απειλών.
Πηγή: www.bleepingcomputer.com
