В мире кибербезопасности появилась новая угроза: фреймворк MacroPack, изначально разработанный для специалистов по тестированию на проникновение (red team), теперь активно используется злоумышленниками для распространения вредоносного программного обеспечения. Эксперты Cisco Talos обнаружили, что хакеры применяют этот инструмент для развертывания таких опасных полезных нагрузок, как Havoc, Brute Ratel и PhatomCore.
Что такое MacroPack и почему он опасен?
MacroPack — это проприетарный инструмент, созданный французским разработчиком Эмериком Наси из компании BallisKit. Изначально он предназначался для имитации действий хакеров в целях тестирования безопасности. Однако его мощные возможности привлекли внимание киберпреступников. MacroPack предлагает функции обхода антивирусных программ, защиту от реверс-инжиниринга и создание обфусцированных полезных нагрузок для документов.
Как злоумышленники используют MacroPack?
Аналитики Cisco Talos обнаружили множество вредоносных документов, созданных с помощью MacroPack. Эти файлы отличаются следующими характеристиками:
- Переименование функций и переменных на основе цепи Маркова
- Удаление комментариев и лишних пробельных символов
- Кодировка строк
Такие методы значительно снижают вероятность обнаружения вредоносного кода при статическом анализе. Исследователи выявили зараженные документы в разных странах, включая США, Россию, Китай и Пакистан, что указывает на использование MacroPack различными хакерскими группировками.
Механизм атаки и последствия
При открытии зараженного документа в Microsoft Office запускается VBA-код первого этапа. Этот код загружает вредоносную DLL, которая устанавливает соединение с командным сервером злоумышленников. Исследователи выделили четыре основных кластера вредоносной активности, связанных с MacroPack.
Brute Ratel: особо опасный инструмент
Особое внимание следует уделить использованию Brute Ratel Command and Control Center (BRc4). Этот инструмент, изначально созданный для пентестеров, обладает уникальной способностью уклоняться от обнаружения системами EDR и антивирусными решениями. Из-за этого BRc4 считается «уникально опасным» и стал популярной альтернативой другим инструментам среди киберпреступников.
Ситуация с MacroPack демонстрирует, как легитимные инструменты кибербезопасности могут быть использованы во вредоносных целях. Это подчеркивает необходимость постоянного совершенствования методов защиты и бдительности со стороны организаций и пользователей. Важно регулярно обновлять программное обеспечение, проводить обучение сотрудников по вопросам кибербезопасности и использовать многоуровневые системы защиты для минимизации рисков, связанных с подобными угрозами.