【安全资讯】红队工具MacroPack被滥用部署Brute Ratel

概要：

MacroPack框架最初是为红队演习设计的，但最近被威胁行为者滥用来部署恶意负载，包括Havoc、Brute Ratel和PhantomCore。Cisco Talos的安全研究人员分析了来自多个国家的恶意文档提交，发现MacroPack正被多个威胁行为者滥用，显示出一种潜在的趋势。

主要内容：

MacroPack是由法国开发者Emeric Nasi创建的专有工具，专注于红队演习和对手模拟。它提供了高级功能，如反恶意软件绕过、反逆向工程技术，以及能够构建带有代码混淆和嵌入不可检测VB脚本的各种文档负载。MacroPack还有一个不再维护的开源版本MacroPack Community。

Cisco报告称，在野外捕获了许多带有MacroPack特征的文档样本，这些文档通过Markov链生成的函数和变量重命名、删除注释和多余的空格字符来最小化静态分析检测率，并进行字符串编码。所有这些文档的共同特征是存在四个非恶意的VBA子程序，这些子程序是由MacroPack Pro版本添加的。

受害者打开这些Microsoft Office文档后，会触发第一阶段的VBA代码，该代码加载一个恶意DLL并连接到攻击者的命令和控制（C2）服务器。Cisco Talos的报告识别出四个与MacroPack滥用相关的重要恶意活动集群，包括中国、巴基斯坦、俄罗斯和美国的活动。这些活动涉及不同的诱饵、复杂程度和感染向量，显示出MacroPack滥用的广泛性和多样性。

Brute Ratel是自2022年中期以来黑客部署的一个后期利用攻击框架，作为Cobalt Strike的替代品。勒索软件团伙也被发现使用破解版本的工具来在攻击期间规避EDR和AV。MacroPack的滥用为这些攻击增加了另一层隐蔽性，对防御者来说是一个令人担忧的发展。