信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

本用于紅隊演練的MacroPack框架，如今正被惡意攻擊者濫用，利用其強大的反檢測功能來投放惡意負載（包括Havoc、Brute Ratel和PhantomCore等）。據(jù)思科Talos安全研究人員分析，MacroPack正被多個國家的威脅者用于發(fā)動攻擊，涉及來自美國、俄羅斯、中國、巴基斯坦等國家的大量惡意文檔。

MacroPack：從安全工具到網(wǎng)絡(luò)威脅

MacroPack最初由法國開發(fā)者Emeric Nasi設(shè)計，旨在為紅隊提供演練和模擬對手行為的工具。其功能包括繞過反惡意軟件檢測、反逆向技術(shù)、代碼混淆以及將惡意腳本嵌入文檔的能力。

然而，這一框架現(xiàn)已成為攻擊者的利器，通過文檔加載惡意代碼。

思科Talos報告指出，他們在野外捕獲了大量使用MacroPack生成的惡意文檔。這些文檔具有明顯的特征，比如基于Markov鏈的函數(shù)和變量重命名、刪除注釋與多余的空格字符等，旨在降低靜態(tài)分析檢測的成功率。此外，MacroPack Pro版本會在文檔中添加特定的VBA子程序，這是攻擊者使用該工具的“指紋”。

全球四大攻擊集群

思科Talos團隊根據(jù)地理位置和攻擊模式，歸納出濫用MacroPack的四大攻擊集群（源頭）：

中國：來自中國和巴基斯坦IP地址的惡意文檔（2024年5月至7月）指示用戶啟用宏功能，并傳送Havoc和Brute Ratel負載。這些負載與位于中國河南的C2服務(wù)器（AS4837）通信。

巴基斯坦：具有巴基斯坦軍方主題的文檔，上傳自巴基斯坦，偽裝成巴基斯坦空軍的公告或就業(yè)確認文檔，部署了Brute Ratel惡意軟件。攻擊者通過DNS over HTTPS和Amazon CloudFront通信，其中一份文檔還嵌入了用于Adobe Experience Cloud追蹤的Base64編碼數(shù)據(jù)。

俄羅斯：2024年7月，從俄羅斯IP地址上傳的一份空白Excel工作簿部署了名為PhantomCore的Golang后門，用于間諜活動。文檔包含多階段VBA代碼，試圖從遠程URL下載后門程序。

美國：2023年3月上傳的一份文件偽裝為加密的NMLS續(xù)簽表單，使用了Markov鏈生成的函數(shù)名以逃避檢測。文檔包含的多階段VBA代碼，在嘗試下載未知負載前會檢查沙箱環(huán)境。

總結(jié)：紅隊工具黑化新趨勢

MacroPack的濫用標志著一種新趨勢，黑客正越來越多地利用原本用于安全演練的工具發(fā)起攻擊。盡管MacroPack本身并非惡意軟件，但其強大的混淆和反檢測能力使其成為網(wǎng)絡(luò)犯罪分子的利器，未來可能會出現(xiàn)更多此類工具被濫用的案例。

此外，MacroPack框架的濫用表明，黑客正在不斷升級他們的工具庫，結(jié)合先進的反檢測技術(shù)和社交工程攻擊。這一趨勢需要全球安全團隊加強對文檔惡意軟件的檢測和防御，特別是在處理宏功能和復(fù)雜混淆代碼的文檔時保持高度警惕。