Sicherheitsforscher von Cisco Talos haben eine besorgniserregende Entwicklung aufgedeckt: Das ursprünglich für Red-Team-Spezialisten entwickelte Framework MacroPack wird zunehmend von Cyberkriminellen missbraucht, um gefährliche Malware wie Havoc, Brute Ratel und PhatomCore zu verbreiten. Diese Erkenntnis unterstreicht einmal mehr die Notwendigkeit erhöhter Wachsamkeit im Bereich der Cybersicherheit.
Was ist MacroPack?
MacroPack ist ein proprietäres Tool, das vom französischen Entwickler Emeric Nasi von BallisKit speziell für Red-Team-Spezialisten konzipiert wurde. Es ermöglicht die Simulation von Hackerangriffen und bietet fortschrittliche Funktionen wie Umgehung von Antivirenprogrammen, Schutz vor Reverse Engineering und die Erstellung verschleierter Payloads für Dokumente. Obwohl auch eine Open-Source-Lite-Version existiert, wird diese nicht mehr aktiv unterstützt.
Missbrauch durch Cyberkriminelle
Die Analysten von Cisco Talos haben eine Vielzahl von bösartigen Dokumenten identifiziert, die mit MacroPack erstellt wurden. Diese Dokumente zeichnen sich durch spezifische Merkmale aus:
- Umbenennung von Funktionen und Variablen basierend auf Markov-Ketten
- Entfernung von Kommentaren und überflüssigen Leerzeichen
- Codierung von Strings
Diese Techniken erschweren die Erkennung durch statische Analysen erheblich. Die infizierten Dokumente wurden in verschiedenen Ländern, darunter die USA, Russland, China und Pakistan, auf VirusTotal hochgeladen. Die Vielfalt der Köder-Inhalte und Infektionsvektoren deutet darauf hin, dass verschiedene Hackergruppen MacroPack für ihre Angriffe nutzen.
Funktionsweise der Angriffe
Wenn Opfer infizierte Dokumente in Microsoft Office öffnen, wird ein mehrstufiger Angriff ausgelöst:
- VBA-Code der ersten Stufe wird ausgeführt
- Eine schädliche DLL wird heruntergeladen
- Die DLL verbindet sich mit dem Command-and-Control-Server der Angreifer
Die Forscher konnten vier große Cluster bösartiger Aktivitäten identifizieren, die mit dem Missbrauch von MacroPack in Verbindung stehen. Besonders besorgniserregend ist der Einsatz von Brute Ratel Command and Control Center (BRc4), einem leistungsstarken Post-Exploitation-Tool, das seit Sommer 2022 vermehrt von Cyberkriminellen genutzt wird.
Die Gefahr von Brute Ratel
Brute Ratel ist besonders gefährlich, da es speziell darauf ausgelegt ist, EDR- und Antivirenlösungen zu umgehen. Viele Sicherheitsprodukte erkennen es nicht als Malware, was es zu einer beliebten Alternative zu etablierten Hacking-Tools wie CrowdStrike macht. Sicherheitsexperten bezeichnen Brute Ratel als „einzigartig gefährlich“, und Berichte über den Einsatz einer gehackten Version durch Cyberkriminelle verstärken diese Bedenken zusätzlich.
Der Missbrauch von MacroPack und die zunehmende Verbreitung von Tools wie Brute Ratel stellen Unternehmen und Sicherheitsexperten vor neue Herausforderungen. Es ist entscheidend, Sicherheitsstrategien kontinuierlich anzupassen, Mitarbeiter zu schulen und fortschrittliche Erkennungsmethoden zu implementieren, um diesen raffinierten Bedrohungen effektiv begegnen zu können. Nur durch ständige Wachsamkeit und proaktives Handeln können Organisationen ihre digitalen Assets in diesem sich schnell entwickelnden Bedrohungsumfeld schützen.