红队工具MacroPack已被攻击者滥用
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
法国开发的红队演练工具MacroPack被滥用,部署了恶意负载Havoc、Brute Ratel和PhatomCore。恶意文档已涉及多个国家和地区,使用了高级功能如反恶意软件绕过和代码混淆。受害者打开文档后,会加载恶意DLL并连接到攻击者的C2服务器。攻击行为包括伪装成加密的NMLS更新表格、空白Excel工作簿和以巴基斯坦军事为主题的文件。开发者未回复。
🎯
关键要点
- 法国开发的红队演练工具MacroPack被攻击者滥用,部署恶意负载Havoc、Brute Ratel和PhatomCore。
- MacroPack提供反恶意软件绕过、代码混淆等高级功能,已成为潜在威胁。
- 恶意文档涉及多个国家,包括美国、俄罗斯和巴基斯坦,具有不同的诱饵和复杂程度。
- 受害者打开恶意Office文档后,会加载恶意DLL并连接到攻击者的C2服务器。
- 美国的恶意文档伪装成加密的NMLS更新表格,俄罗斯的空白Excel工作簿提供PhantomCore后门,巴基斯坦的文件伪装成军事通知和就业确认书。
- BleepingComputer已联系开发者Emeric Nasi,但尚未收到回复。
➡️
