Roodteam-hulpmiddel ‘MacroPack’ misbruikt in aanvallen om Brute Ratel te implementeren
Het MacroPack-framework, oorspronkelijk ontworpen voor Red Team oefeningen, wordt misbruikt door kwaadwillenden om kwaadaardige payloads te implementeren, waaronder Havoc, Brute Ratel, en PhatomCore.
Beveiligingsonderzoekers van Cisco Talos hebben kwaadaardige documenten geanalyseerd die zijn ingezonden op VirusTotal vanuit verschillende landen, waaronder de Verenigde Staten, Rusland, China en Pakistan.
Deze documenten verschilden in hun lokmiddelen, verfijning en infectievectoren, wat aangeeft dat MacroPack wordt misbruikt door meerdere dreigingsactoren, wat een potentiële trend aangeeft.
MacroPack payload generatie
MacroPack is een propriëtair hulpmiddel gericht op Red Team oefeningen en tegenstandersimulaties, gemaakt door de Franse ontwikkelaar Emeric Nasi (dba BallisKit).
Het biedt geavanceerde functies zoals een bypass voor malware, technieken tegen reverse engineering, en de mogelijkheid om verschillende document-payloads te bouwen met code-obfuscatie en het inbedden van ondetecteerbare VB-scripts.
Ontwikkelaar die nieuwe functies aankondigtBron: Cisco
Er is ook een “lite” open-source versie genaamd MacroPack Community, die niet langer wordt onderhouden.
Cisco meldt dat het veel documentvoorbeelden heeft opgevangen die tekenen vertonen dat ze zijn gemaakt met MacroPack, waaronder op Markov-ketens gebaseerde functie- en variabele hernoeming, verwijdering van opmerkingen en extra spaties die de detectiegraad van statische analyse minimaliseren, en string-encoding.
Het kenmerkende kenmerk op al deze documenten dat aangeeft dat ze zijn gemaakt met MacroPack Pro is het bestaan van vier niet-kwaadaardige VBA-subroutines die volgens de onderzoekers zijn toegevoegd door de professionele versie van het raamwerk.
Niet-kwaadaardige VBA-subroutinesBron: Cisco
Slachtoffers die deze Microsoft Office-documenten openen, activeren een VBA-code van de eerste fase, die een kwaadaardige DLL laadt die verbinding maakt met de aanvalsbesturingsserver (C2-server).
Overzicht van de aanvalsketenBron: Cisco
Documenten in het wild
Het rapport van Cisco Talos identificeert vier significante clusters van kwaadaardige activiteit geassocieerd met het misbruik van MacroPack, die als volgt worden samengevat:
China: Documenten van IP-adressen in China, Taiwan en Pakistan (mei-juli 2024) gaven gebruikers instructies om macro’s in te schakelen en leverden Havoc- en Brute Ratel-payloads. Deze payloads maakten verbinding met C2-servers in Henan, China (AS4837).
Pakistan: Documenten met Pakistaanse militaire thema’s werden geüpload vanuit locaties in Pakistan. Een document, vermomd als een circulaire van de Pakistaanse luchtmacht, en een ander als een werkbevestiging, leverden Brute Ratel badgers. De documenten communiceerden via DNS over HTTPS en Amazon CloudFront, met één die een Base64-gecodeerde blob voor Adobe Experience Cloud-tracking inbedde.
Rusland: Een leeg Excel-werkboek geüpload vanaf een Russisch IP-adres in juli 2024 leverde PhantomCore, een backdoor gebaseerd op Golang gebruikt voor spionage. Het document draaide VBA-code in meerdere fasen, die probeerde de backdoor van een externe URL te downloaden.
V.S.: Een document geüpload in maart 2023 deed zich voor als een versleuteld NMLS-vernieuwingsformulier en gebruikte door Markov-ketens gegenereerde functienamen om detectie te ontwijken. Het document bevatte VBA-code in meerdere fasen, die controleerde op sandboxomgevingen voordat het probeerde een onbekende payload via mshta.exe te downloaden.
Het lokmiddel in de campagne in de V.S.Bron: Cisco
Brute Ratel is een post-exploitatie aanvalskader dat hackers sinds midden 2022 gebruiken als alternatief voor Cobalt Strike.
Ook werden ransomwaregroepen gespot die een gekraakte versie van het hulpmiddel gebruikten om EDR’s en AV’s te ontwijken tijdens aanvallen.
Het misbruik van MacroPack voegt een extra laag stealth toe aan deze aanvallen en is een zorgwekkende ontwikkeling voor verdedigers.
BleepingComputer heeft contact opgenomen met Emeric Nasi over het geobserveerde misbruik, maar we hebben nog geen reactie ontvangen.
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----