駭客將防守方用來強化資安的工具,拿來用於攻擊行動,最常見的莫過於滲透測試工具Cobalt Strike,後來也出現利用Brute Ratel C4的事故,如今有人開始利用新的工具從事攻擊。
思科旗下威脅情報團隊Talos指出,他們在今年5月至7月,在惡意軟體分析平臺VirusTotal看到數個Office檔案,其共通點就是使用名為MacroPack的紅隊演練框架產生,經過分析發現,這些Office檔案被用於散布多種惡意程式的有效酬載,例如:滲透測試工具Brute Ratel C4、Havoc、RAT木馬程式PhantomCore,他們認為有多個駭客組織可能已在實際攻擊行動當中,開始利用MacroPack。
什麼是MacroPack?這是由法國資安公司BallisKit開發的紅隊演練框架,目的是讓紅隊演練自動化,能夠產生演練過程所需的相關檔案及工具,包含特製的LNK、URL檔,以及Office檔案,還有HTA、WSF、VBS、MSI等多種型態的指令碼,號稱能迴避防毒軟體及EDR的靜態分析、啟發式分析、行為分析機制。
研究人員指出,他們在看到前述的VirusTotal檔案當中,VBA程式碼具備類似的特徵,例如:都具備4個未經過混淆處理、無害的VBA子程式,循線調查確認,這些檔案皆由MacroPack產生。值得留意的是,他們也提及該框架產生的檔案,會更動功能及參數名稱,並移除註解與多餘的空格,然後經過混淆處理,導致察覺這些檔案有害變得更為困難。
而對於攻擊者的身分,研究人員起初認為僅有一組人馬濫用MacroPack,但他們發現VirusTotal的檔案來自多個國家,推測已有多組駭客利用這項框架。
他們總共歸納出4起攻擊行動,其中一起範圍涵蓋臺灣、中國、巴基斯坦而相當受到注意,駭客藉此散布Havoc和Brute Ratel C4有效負載,而這些惡意程式會連往位於中國河南的C2伺服器。
另一起針對巴基斯坦的攻擊行動,駭客也是散布Brute Ratel C4,但特別的是,他們濫用了DNS over HTTPS(DOH)及Amazon CloudFront。
也有駭客用於攻擊俄羅斯、美國。針對俄羅斯的部分,攻擊者企圖散布Go語言打造的後門程式PhantomCore;對於發生在美國的攻擊事故,駭客執行多階段VBA程式碼,並在濫用mshta.exe下載有效酬載之前,確認是否存在沙箱環境。
值得留意的是,美國這波攻擊行動可追溯到2023年3月,代表駭客濫用MacroPack的時間已超過一年半。
熱門新聞
2024-08-14
2024-12-22
2024-12-20
2024-12-22