Експерти з кібербезпеки б’ють на сполох: фреймворк MacroPack, спочатку розроблений для фахівців red team, тепер активно використовується зловмисниками для поширення шкідливого програмного забезпечення. Серед небезпечних корисних навантажень, які розгортаються за допомогою MacroPack, виявлено такі загрози як Havoc, Brute Ratel та PhatomCore.
Що таке MacroPack і чому він небезпечний?
MacroPack – це пропрієтарний інструмент, створений французьким розробником Емеріком Насі з компанії BallisKit. Спочатку він призначався для спеціалістів red team, які моделюють поведінку хакерів під час тестування систем безпеки. Однак потужні функції MacroPack, такі як обхід антивірусів, захист від реверс-інжинірингу та створення обфускованих корисних навантажень, привернули увагу кіберзлочинців.
Ознаки використання MacroPack у шкідливих документах
Аналітики Cisco Talos виявили численні документи, створені за допомогою MacroPack. Ці файли мають характерні особливості:
- Перейменування функцій і змінних на основі ланцюгів Маркова
- Видалення коментарів та зайвих пробілів для ускладнення статичного аналізу
- Кодування рядків
- Наявність чотирьох нешкідливих VBA-макросів, пов’язаних з професійною версією фреймворку
Механізм атаки та географія загрози
При відкритті зараженого документа в Microsoft Office запускається VBA-код першого етапу. Він завантажує шкідливу DLL, яка встановлює зв’язок з командним сервером зловмисників. Дослідники виявили заражені документи, завантажені на VirusTotal з різних країн, включаючи США, Росію, Китай та Пакистан. Це свідчить про те, що MacroPack використовується різними хакерськими групами.
Основні кластери шкідливої активності
Експерти Cisco Talos ідентифікували чотири великі кластери зловмисної діяльності, пов’язані з MacroPack. Особливу увагу привертає використання Brute Ratel Command and Control Center (BRc4) – інструменту для пентестерів, який став популярним серед кіберзлочинців через його здатність уникати виявлення системами EDR та антивірусами.
Ситуація з MacroPack демонструє, як легітимні інструменти для тестування безпеки можуть стати потужною зброєю в руках зловмисників. Організаціям необхідно посилити захист від макросів у документах, регулярно оновлювати системи безпеки та проводити навчання співробітників з питань кібергігієни. Тільки комплексний підхід до кібербезпеки допоможе протистояти новим викликам у цій динамічній сфері.