В новом отчёте команды Cisco Talos рассказывается об инструменте MacroPack, предназначенном для учений Red Team, который сейчас применяется киберпреступниками для развёртывания вредоносного ПО. Эксперты обнаружили несколько связанных документов Microsoft, загруженных на VirusTotal в период с мая по июль 2024 года. Все они были созданы с помощью версии фреймворка-генератора полезной нагрузки под названием MacroPack.
По словам специалистов Cisco Talos, эти документы были загружены различными хакерскими группировками, в том числе действующими с территории Китая, Пакистана, России и США.
Вредоносные файлы использовались для доставки нескольких полезных нагрузок, в том числе фреймворков пост-эксплуатации Havoc и Brute Ratel, а также нового варианта трояна удалённого доступа (RAT) PhantomCore. MacroPack — это инструмент, позволяющий быстро генерировать различные полезные данные в различных типах файлов, включая форматы, поддерживаемые Office, благодаря чему пользователи могут создавать рабочие импланты с помощью одной командной строки.
MacroPack также существует в профессиональной поддерживаемой версии, которая содержит дополнительные функции, делающие полезные нагрузки более устойчивыми, а также имеет некоторые более продвинутые возможности, такие как обход защиты от вредоносного ПО, более продвинутые полезные нагрузки, защита от реверсирования и дополнительные полезные компоненты.
Инструмент предназначен для использования членами команды Red Team, а не для вредоносных целей. Однако нет никакого контроля над тем, кто использует бесплатную версию инструмента.
Эксперты Cisco Talos отметили, что код, сгенерированный фреймворком MacroPack, имеет ряд характеристик, которые предназначены для обхода защиты от вредоносных программ. К ним относятся переименование функций, переименование переменных, удаление лишних пробелов, удаление комментариев и обфускация полезной нагрузки.
Полная версия отчёта представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Cisco Talos: хакеры используют инструмент MacroPack, предназначенный для киберучений, для развёртывания вредоносного ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
