根据BleepingComputer的报道,多个威胁组织正在利用先进的MacroPack框架进行红队演练,以推动Brute Ratel、Havoc和PhantomCore有效载荷的交付。
Cisco Talos的分析揭示了来自一个位于中国的指挥控制服务器的攻击事件,这些攻击涉及上传自中国、台湾和巴基斯坦IP地址的基于MacroPack的文档,命令安装宏,从而促进了Brute Ratel和Havoc的传播。Brute Ratel还通过带有巴基斯坦军方诱饵的文档来进行传播,而PhantomCore则通过一个来自俄罗斯IP上传的Excel工作簿扩散,该工作簿允许多阶段VBA代码执行,成为间谍活动的一部分。
此外,研究者还发现,去年三月,一个从美国IP上传的带有加密NMLS形式伪造的文档中也嵌入了多阶段VBA代码,试图发起未知有效载荷。研究人员注意到,所有被发现的文档均使用MacroPack创建,这表现在函数和变量重命名、评论删除以及字符串编码等Markov链基础功能的存在上。
相关链接: Cisco Talos的详细分析 MacroPack GitHub资源
表格概述:
有效载荷来源特点Brute Ratel巴基斯坦军方诱饵文件使用宏传播Havoc基于MacroPack的文件安装宏来进行攻击PhantomCore俄罗斯IP的Excel工作簿多阶段VBA代码执行这些发现突显了MacroPack在网络攻击中的日益重要性,提醒组织在保护自身系统时必须保持警惕。
狂飙梯子npv
