MacroPack框架被多个威胁组织利用

关键要点

• 多个威胁组织利用了MacroPack框架来传递Brute Ratel、Havoc和PhantomCore有效载荷。
• 中国、台湾和巴基斯坦的IP地址上传的文件中利用了宏，实施攻击行为。
• 涉及多个阶段的VBA代码被嵌入在加密文档中，以执行间谍活动。

根据的报道，多个威胁组织正在利用先进的MacroPack框架进行红队演练，以推动、Havoc和PhantomCore有效载荷的交付。

CiscoTalos的分析揭示了来自一个位于中国的指挥控制服务器的攻击事件，这些攻击涉及上传自中国、台湾和巴基斯坦IP地址的基于MacroPack的文档，命令安装宏，从而促进了BruteRatel和Havoc的传播。BruteRatel还通过带有巴基斯坦军方诱饵的文档来进行传播，而PhantomCore则通过一个来自俄罗斯IP上传的Excel工作簿扩散，该工作簿允许多阶段VBA代码执行，成为间谍活动的一部分。

此外，研究者还发现，去年三月，一个从美国IP上传的带有加密NMLS形式伪造的文档中也嵌入了多阶段VBA代码，试图发起未知有效载荷。研究人员注意到，所有被发现的文档均使用MacroPack创建，这表现在函数和变量重命名、评论删除以及字符串编码等Markov链基础功能的存在上。

相关链接： - -

表格概述：

这些发现突显了MacroPack在网络攻击中的日益重要性，提醒组织在保护自身系统时必须保持警惕。