根据 Cisco Talos 的新调查结果,威胁行为者可能正在使用专门用于红队练习的工具来为恶意软件提供服务。
有问题的程序是一个名为 MacroPack 的有效负载生成框架,用于生成 Office 文档、Visual Basic 脚本、Windows 快捷方式和其他格式,用于渗透测试和社会工程评估。它由法国开发人员 Emeric Nasi 开发。
这家网络安全公司表示,它发现了从中国、巴基斯坦、俄罗斯和美国上传到 VirusTotal 的工件,这些工件都是由 MacroPack 生成的,用于提供各种有效载荷,例如 Havoc、Brute Ratel 和 PhantomCore 的新变体,这是一种远程访问木马 (RAT),归因于一个名为 Head Mare 的黑客组织。
“在我们剖析的所有引起我们注意的恶意文档中,一个共同的特征是存在四个非恶意 VBA 子例程,”Talos 研究员 Vanja Svajcer 说。
“这些子例程出现在所有样本中,并且没有被混淆。它们也从未被任何其他恶意子例程或任何文档中的其他任何地方使用过。
这里需要注意的一个重要方面是,这些文档的诱饵主题多种多样,从指示用户启用宏的通用主题到似乎来自军事组织的官方外观文档。这表明不同的威胁行为者参与其中。
还观察到一些文档利用作为 MacroPack 一部分提供的高级功能,通过使用马尔可夫链创建看似有意义的函数和变量名称来隐藏恶意功能,从而绕过反恶意软件启发式检测。
在 2024 年 5 月至 7 月期间观察到的攻击链遵循一个三步过程,需要发送一个包含 MacroPack VBA 代码的诱杀 Office 文档,然后解码下一阶段的有效负载,最终获取并执行最终的恶意软件。
这一发展表明,威胁行为者不断更新策略以应对中断,并采用更复杂的代码执行方法。