本文来自微信公众号“GoUpSec”。
本用于红队演练的MacroPack框架,如今正被恶意攻击者滥用,利用其强大的反检测功能来投放恶意负载(包括Havoc、Brute Ratel和PhantomCore等)。据思科Talos安全研究人员分析,MacroPack正被多个国家的威胁者用于发动攻击,涉及来自美国、俄罗斯、中国、巴基斯坦等国家的大量恶意文档。
MacroPack:从安全工具到网络威胁
MacroPack最初由法国开发者Emeric Nasi设计,旨在为红队提供演练和模拟对手行为的工具。其功能包括绕过反恶意软件检测、反逆向技术、代码混淆以及将恶意脚本嵌入文档的能力。
然而,这一框架现已成为攻击者的利器,通过文档加载恶意代码。
思科Talos报告指出,他们在野外捕获了大量使用MacroPack生成的恶意文档。这些文档具有明显的特征,比如基于Markov链的函数和变量重命名、删除注释与多余的空格字符等,旨在降低静态分析检测的成功率。此外,MacroPack Pro版本会在文档中添加特定的VBA子程序,这是攻击者使用该工具的“指纹”。
全球四大攻击集群
思科Talos团队根据地理位置和攻击模式,归纳出滥用MacroPack的四大攻击集群(源头):
中国:来自中国和巴基斯坦IP地址的恶意文档(2024年5月至7月)指示用户启用宏功能,并传送Havoc和Brute Ratel负载。这些负载与位于中国河南的C2服务器(AS4837)通信。
巴基斯坦:具有巴基斯坦军方主题的文档,上传自巴基斯坦,伪装成巴基斯坦空军的公告或就业确认文档,部署了Brute Ratel恶意软件。攻击者通过DNS over HTTPS和Amazon CloudFront通信,其中一份文档还嵌入了用于Adobe Experience Cloud追踪的Base64编码数据。
俄罗斯:2024年7月,从俄罗斯IP地址上传的一份空白Excel工作簿部署了名为PhantomCore的Golang后门,用于间谍活动。文档包含多阶段VBA代码,试图从远程URL下载后门程序。
美国:2023年3月上传的一份文件伪装为加密的NMLS续签表单,使用了Markov链生成的函数名以逃避检测。文档包含的多阶段VBA代码,在尝试下载未知负载前会检查沙箱环境。
总结:红队工具黑化新趋势
MacroPack的滥用标志着一种新趋势,黑客正越来越多地利用原本用于安全演练的工具发起攻击。尽管MacroPack本身并非恶意软件,但其强大的混淆和反检测能力使其成为网络犯罪分子的利器,未来可能会出现更多此类工具被滥用的案例。
此外,MacroPack框架的滥用表明,黑客正在不断升级他们的工具库,结合先进的反检测技术和社交工程攻击。这一趋势需要全球安全团队加强对文档恶意软件的检测和防御,特别是在处理宏功能和复杂混淆代码的文档时保持高度警惕。