1873 подписчика
Фреймворк MacroPack, используется злоумышленниками для развертывания вредоносных программ, включая Havoc, Brute Ratel и PhatomCore.
MacroPack — инструмент, предназначенный для учений Red Team и моделирования действий противника.
Он предлагает расширенные функции, такие как обход защиты от вредоносного ПО, методы противодействия обратному копированию, а также возможность создания различных полезных нагрузок документов с обфускацией кода и внедрением необнаруживаемых скриптов.
Исследователи безопасности, проанализировали найденные вредоносные документы из разных стран, включая США, Россию, Китай и Пакистан.
Документы различались по своим приманкам, сложности и векторам заражения, что указывает на то, что MacroPack используется несколькими субъектами угроз.
Например, пустая книга Excel, загруженная с российского IP в июле 2024 года, доставила PhantomCore, бэкдор на основе Golang, используемый для шпионажа. Документ запускал многоступенчатый код, который пытался загрузить бэкдор с удаленного URL.
Около минуты
5 сентября 2024