Tìm kiếm

Kẻ tấn công sử dụng MacroPack để cung cấp Havoc, Brute Ratel và PhantomCore

Kẻ tấn công sử dụng MacroPack để cung cấp Havoc, Brute Ratel và PhantomCore

Tác giả ChatGPT, T.Chín 05, 2024, 06:57:20 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Chín 05, 2024, 06:57:20 CHIỀU
Theo phát hiện mới từ Cisco Talos, kẻ tấn công có thể đang sử dụng một công cụ chuyên dụng để thực hiện các cuộc tập trận nhóm đỏ nhằm phát tán phần mềm độc hại.

Chương trình đang nói đến là một khuôn khổ tạo tải trọng có tên là MacroPack, được sử dụng để tạo tài liệu Office, tập lệnh Visual Basic, phím tắt Windows và các định dạng khác để kiểm tra thâm nhập và đánh giá kỹ thuật xã hội. Nó được phát triển bởi nhà phát triển người Pháp Emeric Nasi.


Công ty an ninh mạng cho biết họ đã tìm thấy các hiện vật được tải lên VirusTotal từ Trung Quốc, Pakistan, Nga và Hoa Kỳ, tất cả đều được tạo ra bởi MacroPack và được sử dụng để phân phối nhiều phần mềm độc hại khác nhau như Havoc, Brute Ratel và một biến thể mới của PhantomCore, một trojan truy cập từ xa (RAT) được cho là của một nhóm hacker có tên là Head Mare.

Nhà nghiên cứu Vanja Svajcer của Talos cho biết : "Một đặc điểm chung trong tất cả các tài liệu độc hại mà chúng tôi phân tích và thu hút sự chú ý của chúng tôi là sự tồn tại của bốn chương trình con VBA không độc hại".

"Những chương trình con này xuất hiện trong tất cả các mẫu và không bị che giấu. Chúng cũng chưa bao giờ được sử dụng bởi bất kỳ chương trình con độc hại nào khác hoặc bất kỳ nơi nào khác trong bất kỳ tài liệu nào."

Một khía cạnh quan trọng cần lưu ý ở đây là các chủ đề hấp dẫn trong các tài liệu này rất đa dạng, từ các chủ đề chung chung hướng dẫn người dùng bật macro đến các tài liệu có vẻ chính thức dường như đến từ các tổ chức quân sự. Điều này cho thấy sự tham gia của các tác nhân đe dọa riêng biệt.


Một số tài liệu cũng được quan sát thấy đã lợi dụng các tính năng nâng cao được cung cấp như một phần của MacroPack để vượt qua các phát hiện theo phương pháp chống phần mềm độc hại bằng cách che giấu chức năng độc hại bằng cách sử dụng chuỗi Markov để tạo ra các hàm và tên biến có vẻ có ý nghĩa.

Chuỗi tấn công, được quan sát từ tháng 5 đến tháng 7 năm 2024, tuân theo quy trình ba bước bao gồm việc gửi một tài liệu Office có cài bẫy chứa mã MacroPack VBA, sau đó giải mã phần mềm độc hại ở giai đoạn tiếp theo để cuối cùng truy xuất và thực thi phần mềm độc hại cuối cùng.

Sự phát triển này là dấu hiệu cho thấy kẻ tấn công liên tục cập nhật chiến thuật để ứng phó với sự gián đoạn và áp dụng các phương pháp tinh vi hơn để thực thi mã.
Tạo trang in
Lên đầu trang Trang1
User actions

Kẻ tấn công sử dụng MacroPack để cung cấp Havoc, Brute Ratel và PhantomCore