本用于红队演练的MacroPack框架，如今正被恶意攻击者滥用，利用其强大的反检测功能来投放恶意负载（包括Havoc、Brute Ratel和PhantomCore等）。据思科Talos安全研究人员分析，MacroPack正被多个国家的威胁者用于发动攻击，涉及来自美国、俄罗斯、中国、巴基斯坦等国家的大量恶意文档。

MacroPack：从安全工具到网络威胁

MacroPack最初由法国开发者Emeric Nasi设计，旨在为红队提供演练和模拟对手行为的工具。其功能包括绕过反恶意软件检测、反逆向技术、代码混淆以及将恶意脚本嵌入文档的能力。

然而，这一框架现已成为攻击者的利器，通过文档加载恶意代码。

思科Talos报告指出，他们在野外捕获了大量使用MacroPack生成的恶意文档。这些文档具有明显的特征，比如基于Markov链的函数和变量重命名、删除注释与多余的空格字符等，旨在降低静态分析检测的成功率。此外，MacroPack Pro版本会在文档中添加特定的VBA子程序，这是攻击者使用该工具的“指纹”。

全球四大攻击集群

思科Talos团队根据地理位置和攻击模式，归纳出滥用MacroPack的四大攻击集群（源头）：

• 中国：来自中国和巴基斯坦IP地址的恶意文档（2024年5月至7月）指示用户启用宏功能，并传送Havoc和Brute Ratel负载。这些负载与位于中国河南的C2服务器（AS4837）通信。
• 巴基斯坦：具有巴基斯坦军方主题的文档，上传自巴基斯坦，伪装成巴基斯坦空军的公告或就业确认文档，部署了Brute Ratel恶意软件。攻击者通过DNS over HTTPS和Amazon CloudFront通信，其中一份文档还嵌入了用于Adobe Experience Cloud追踪的Base64编码数据。
• 俄罗斯：2024年7月，从俄罗斯IP地址上传的一份空白Excel工作簿部署了名为PhantomCore的Golang后门，用于间谍活动。文档包含多阶段VBA代码，试图从远程URL下载后门程序。
• 美国：2023年3月上传的一份文件伪装为加密的NMLS续签表单，使用了Markov链生成的函数名以逃避检测。文档包含的多阶段VBA代码，在尝试下载未知负载前会检查沙箱环境。

总结：红队工具黑化新趋势

MacroPack的滥用标志着一种新趋势，黑客正越来越多地利用原本用于安全演练的工具发起攻击。尽管MacroPack本身并非恶意软件，但其强大的混淆和反检测能力使其成为网络犯罪分子的利器，未来可能会出现更多此类工具被滥用的案例。

此外，MacroPack框架的滥用表明，黑客正在不断升级他们的工具库，结合先进的反检测技术和社交工程攻击。这一趋势需要全球安全团队加强对文档恶意软件的检测和防御，特别是在处理宏功能和复杂混淆代码的文档时保持高度警惕。

参考链接：

https://www.bleepingcomputer.com/news/security/red-team-tool-macropack-abused-in-attacks-to-deploy-brute-ratel/

声明：本文来自GoUpSec，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。