红队工具MacroPack已被攻击者滥用
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
法国开发的红队演练工具MacroPack被滥用,部署了恶意负载Havoc、Brute Ratel和PhatomCore。恶意文档已涉及多个国家和地区,使用了高级功能如反恶意软件绕过和代码混淆。受害者打开文档后,会加载恶意DLL并连接到攻击者的C2服务器。攻击行为包括伪装成加密的NMLS更新表格、空白Excel工作簿和以巴基斯坦军事为主题的文件。开发者未回复。
🎯
关键要点
- 法国开发的红队演练工具MacroPack被攻击者滥用,部署恶意负载Havoc、Brute Ratel和PhatomCore。
- MacroPack提供反恶意软件绕过、代码混淆等高级功能,已成为潜在威胁。
- 恶意文档涉及多个国家,包括美国、俄罗斯和巴基斯坦,具有不同的诱饵和复杂程度。
- 受害者打开恶意Office文档后,会加载恶意DLL并连接到攻击者的C2服务器。
- 美国的恶意文档伪装成加密的NMLS更新表格,俄罗斯的空白Excel工作簿提供PhantomCore后门,巴基斯坦的文件伪装成军事通知和就业确认书。
- BleepingComputer已联系开发者Emeric Nasi,但尚未收到回复。
❓
延伸问答
MacroPack是什么工具,它的主要功能是什么?
MacroPack是一款由法国开发的红队演练工具,主要功能包括反恶意软件绕过、代码混淆和嵌入无法检测的VB脚本等。
MacroPack被攻击者如何滥用?
攻击者利用MacroPack部署恶意负载,如Havoc、Brute Ratel和PhantomCore,并伪装成各种文档诱骗用户打开。
受害者打开恶意文档后会发生什么?
受害者打开恶意Office文档后,会触发VBA代码,加载恶意DLL并连接到攻击者的C2服务器。
MacroPack滥用的恶意文档涉及哪些国家?
恶意文档涉及多个国家,包括美国、俄罗斯和巴基斯坦。
MacroPack滥用的恶意活动有哪些具体案例?
例如,美国的文档伪装成加密的NMLS更新表格,俄罗斯的空白Excel工作簿提供PhantomCore后门,巴基斯坦的文件伪装成军事通知和就业确认书。
开发者对MacroPack滥用的回应是什么?
BleepingComputer已联系开发者Emeric Nasi,但尚未收到回复。
➡️
